Magentoが使用しているZend FrameworkのXMLRPCモジュールに脆弱性があり、サーバ上の任意のファイルが読み取られる可能性があるとMagento Inc.から告知がありました。
Magento Community Edition 1.4以降とEnterprise Edition 1.8以降のバージョンが対象となります。

 

脆弱性の概要

この脆弱性はMagento本体のプログラムによるものではなく、Magentoが使用しているPHPフレームワーク「Zend Framework」のXML RPCモジュールによって引き起こされるものです。

攻撃者は不正なXML文書をMagentoに送信することで、Webサーバ上にある、Webサーバの実行ユーザーもしくはPHPをCGIモードで動かしている場合のCGIの実行ユーザーが読み取り権限を持っているすべてのファイルに対してWebブラウザなどを使用してアクセスが可能です。読み取られる可能性があるファイルには、以下のようなものがあります。

  • パスワードファイル
  • システム設定ファイル
  • データベースの実体ファイル

 

対象となるMagentoのバージョン

  • Community Edition 1.4.0.0 以降 1.7.0.1まで
  • Enterprise Edition 1.8.0.0 以降 1.12.0.1まで

 

対処方法

  • 最新版のMagentoにアップデートしてください。
  • Magento Inc.が提供している各バージョンに対応した修正内容を記載したファイルを参照し、手動で修正を行なってください。

 

修正ファイルについて

 

弊社のお客様へのお知らせ

弊社担当より個別にご連絡を致しますので今しばらくお待ち下さい。

 

アップデート作業のご依頼、または技術的なアドバイスのご要望について

お問い合せフォームよりお問い合わせください。折り返し弊社担当よりご連絡を致します。