Magento Open SourceとCommerceの最新版、2.0.17、2.1.10、2.2.1がリリースされました。

今回のアップデートはセキュリティ修正の位置づけですが、およそ10件の脆弱性対応とバージョン別に修正と改良が行われています。
修正された脆弱性の概要については、Security Centerに正式な情報が公開されています。

修正された脆弱性の内訳

今回のアップデートで修正された脆弱性の内訳は以下のようになっています。
(CVSSv3によるランク付けを基準にしています)

  • 高:8件
  • 中:2件

総数としては10件の修正です。緊急レベルのものはありませんが、レベル高のものが8つあります。
できるだけ早急に適用することが強く推奨されます。

修正内容の詳細

脆弱性番号概要種別CVSS v3 リスクレベル対象バージョン
APPSEC-1325 支払契約機能におけるXSS XSS 5.5(中)  2.0.17以前
2.1.10以前
2.2.0
APPSEC-1825 メールテンプレートにおけるPHPオブジェクトインジェクション リモートコード実行 8.2(高) 2.0.17以前
2.1.10以前
2.2.0
APPSEC-1830 商品属性におけるPHPオブジェクトインジェクション リモートコード実行 8.2(高) 2.0.17以前
2.1.10以前
2.2.0
APPSEC-1862 商品情報におけるPHPオブジェクトインジェクション リモートコード実行 8.2(高) 2.0.17以前
2.1.10以前
2.2.0
APPSEC-1881 ダウンロード商品属性におけるPHPオブジェクトインジェクション リモートコード実行 7.2(高) 2.0.17以前
2.1.10以前
2.2.0
APPSEC-1893 商品情報のスワッチデータに対するPHPオブジェクトインジェクション リモートコード実行 8.2(高) 2.0.17以前
2.1.10以前
2.2.0
APPSEC-1900 フォーム入力値未検証によるリモートコード実行 リモートコード実行 8.2(高) 2.0.17以前
2.1.10以前
2.2.0
APPSEC-1910 インポート履歴におけるローカルファイル読み込み ローカルファイル読み込み
リモートコード実行		 6.1(中) 2.0.17以前
2.1.10以前
2.2.0
APPSEC-1930 ウィジェット機能におけるリモートコード実行 リモートコード実行 8.2(高) 2.0.17以前
2.1.10以前
2.2.0
APPSEC-1931 Zend Frameworkによるリモートコード実行でのファイル削除の可能性 リモートコード実行 7.2(高) 2.0.17以前
2.1.10以前
2.2.0

機能改良・改修

また、バージョン別に不具合修正が施されています。
Magento CommerceとMagento Open Sourceで少しずつ異なりますので、ここでは分けてリリースノートへのリンクをご紹介します。

Magento Commerce

Magento Open Source

アップデートについて

弊社ではcomposerもしくは管理画面経由でのアップデートをオススメしています。
アップデート作業に不安のある方、アップデート方法がわからない方は、弊社の技術サポートサービスをご利用ください。

今回のアップデートにはセキュリティ修正なので、放置すると重大な問題に発展する恐れがあります。
2.0.16、2.1.9、2.2.0またはそれ以前のバージョンをお使いの方は、早めにアップデートをされたほうが良いでしょう。