Magento1系を対象にした最新のセキュリティパッチ「SUPEE-9652」が公開されました。
以下のバージョンが対象になっています。

  • Magento Community Edition 1.5.0.1〜1.9.3.1まで
  • Magento Enterprise Edition 1.9.0.0〜1.14.3.1まで

このパッチが修正する問題

SUPEE-9652は、昨年末にPHPを用いたメール送信ライブラリ「PHPMailer」で報告された、メール送信に関する「リモードコード実行」の脆弱性に関連する問題を修正します。

MagentoはPHPMailerを使用していませんが、類似の実装である「Zend Mail」をメール送信処理に使用しています。
このZend MailにもPHPMailerで報告された脆弱性と同様の問題があることが報告され、今回のパッチリリースに至りました。

なお、この脆弱性については、Magentoが稼働しているサーバー上に同居するSendmailを介してメール送信する際にのみ影響があります。
外部のSMTPサーバーを介してメールを送信されている場合は問題ありません。

パッチの適用方法がわからない方へ

弊社ではMagento1系に対するをご提供しております。
お使いのMagentoに対し、どの程度パッチの適用が必要なのかを調査し、適切なパッチ適用を行います。
パッチの適用についてご不安な方は、お問い合わせください。