2023年10月11日にAdobeから公開されたMagento2のセキュリティーアップデート情報でクリティカル判定された項目についての情報を提供します。
Magento2のテンプレートエンジンにクロスサイト スクリプティングの脆弱性が確認されました
Adobe Commerce バージョン 2.4.6 (およびそれ以前)、2.4.5-p2 (およびそれ以前)、2.4.4-p3 (およびそれ以前) には、テンプレートエンジンで使用される特殊要素の不適切な中和の脆弱性があり、管理者権限で認証された攻撃者に任意のコードを実行される可能性のある脆弱性があります。この問題を悪用する場合、ユーザーによる操作は必要ありません。
以下のバージョンが対象
- Adobe Commerce
- 2.4.6 以前は2.4.6-p1へのバージョンアップの必要があります
- 2.4.5-p2 以前は2.4.5-p3へのバージョンアップの必要があります
- 2.4.4-p3 以前は2.4.4-p4へのバージョンアップの必要があります
- 2.4.3-ext-2 以前*は2.4.3-ext-3へのバージョンアップの必要があります
- 2.4.2-ext-2 以前*は2.4.2-ext-3へのバージョンアップの必要があります
- 2.4.1-ext-2 以前*は2.4.1-ext-3へのバージョンアップの必要があります
- 2.4.0-ext-2 以前*は2.4.0-ext-3へのバージョンアップの必要があります
- 2.3.7-p4-ext-2 以前*は2.3.7-p4-ext-3へのバージョンアップの必要があります
- Magento Open Source 2.4.6 以前
- 2.4.5-p2 以前は2.4.5-p3へのバージョンアップの必要があります
- 2.4.4-p3 以前は2.4.4-p4へのバージョンアップの必要があります
共通脆弱性タイプ一覧CWE(Common Weakness Enumeration)
クロスサイトスクリプティング(XSS)とは
クロスサイトスクリプティング(Cross-Site Scripting、XSS)は、ウェブセキュリティの脆弱性の一種で、悪意のある攻撃者がウェブアプリケーションにおけるユーザーのデータを不正に取得したり、操作したりするために利用される可能性のある攻撃手法です。XSS攻撃は、ウェブサイトやウェブアプリケーションが不適切に設計または実装された場合に発生しやすくなります。
XSS攻撃の主な特徴は次の通りです:
悪意のあるスクリプトの注入: 攻撃者はウェブアプリケーションに不正なスクリプトコードを注入します。このスクリプトは一般にJavaScriptで記述され、攻撃者がコントロールする外部のドメインから読み込むことができる場合があります。
ユーザーによる信頼性: 攻撃者はユーザーによって信頼されているコンテンツやリンクにスクリプトを仕込むことがあります。ユーザーがそのコンテンツやリンクをクリックした際、スクリプトは実行されます。
XSS攻撃の主な種類には、以下の3つがあります:
- 反射型XSS(Reflected XSS): 攻撃者が悪意のあるスクリプトをURLパラメーターやフォームフィールドなどの入力に注入し、ユーザーがそのリンクやURLをクリックしたときに実行される形態です。
- 根本的なXSS(Stored XSS): 攻撃者が悪意のあるスクリプトをウェブアプリケーションのデータベースなどの永続的な場所に格納し、他のユーザーがそのコンテンツを閲覧したときに実行される形態です。
- DOMベースXSS(DOM-based XSS): 攻撃者がクライアントサイドのDOM(Document Object Model)を操作して、ページ上でスクリプトを実行する形態です。
XSS攻撃は、個人情報の盗難、セッションハイジャック、不正な操作、ウェブサイトの改ざんなどのさまざまな悪影響をもたらす可能性があります。ウェブ開発者は、適切なデータ検証、エスケープ処理、セキュリティヘッダーの設定などのセキュリティ対策を実施して、XSS攻撃から保護するための措置を講じる必要があります。
Magento2で不正な承認の脆弱性が確認されました
Adobe Commerce バージョン 2.4.6 (およびそれ以前)、2.4.5-p2 (およびそれ以前)、2.4.4-p3 (およびそれ以前) には、セキュリティ機能のバイパスを引き起こす可能性のある、不正な認証の脆弱性が存在します。攻撃者は、この脆弱性を利用して、他のユーザのデータを漏洩させる可能性があります。この問題の悪用には、ユーザーによる操作は必要ありません。
以下のバージョンが対象
- Adobe Commerce
- 2.4.6 以前は2.4.6-p1へのバージョンアップの必要があります
- 2.4.5-p2 以前は2.4.5-p3へのバージョンアップの必要があります
- 2.4.4-p3 以前は2.4.4-p4へのバージョンアップの必要があります
- 2.4.3-ext-2 以前*は2.4.3-ext-3へのバージョンアップの必要があります
- 2.4.2-ext-2 以前*は2.4.2-ext-3へのバージョンアップの必要があります
- 2.4.1-ext-2 以前*は2.4.1-ext-3へのバージョンアップの必要があります
- 2.4.0-ext-2 以前*は2.4.0-ext-3へのバージョンアップの必要があります
- 2.3.7-p4-ext-2 以前*は2.3.7-p4-ext-3へのバージョンアップの必要があります
- Magento Open Source 2.4.6 以前
- 2.4.5-p2 以前は2.4.5-p3へのバージョンアップの必要があります
- 2.4.4-p3 以前は2.4.4-p4へのバージョンアップの必要があります
共通脆弱性タイプ一覧CWE(Common Weakness Enumeration)
不正な承認の脆弱性とは
認証とは、所定の ID を持つユーザーを想定し、そのユーザーの権限と、リソースに適用される許可やその他のアクセス制御仕様に基づいて、そのユーザーが所定のリソースにアクセスできるかどうかを判断するプロセスです。
アクセス制御のチェックが正しく適用されないと、ユーザは実行を許可されないはずのデータにアクセスしたり、アクションを実行したりできます。これは、情報漏洩、サービス拒否、任意のコード実行など、さまざまな問題につながる可能性があります。
まとめ
本脆弱性はAdobeから公開されたMagento2のセキュリティーアップデート情報でクリティカル扱いとなっています。
該当するバージョンのMagnto2を使用している場合が対応する修正バージョンにアップデートを実施してください。