Magento1.5以降に対するセキュリティパッチのリリースが行われました。
新たにリリースされたセキュリティパッチ「SUPEE-10266」はMagento Community Edition 1.5.0.0以降のバージョンが対象となっており、13の脆弱性が修正されます。2017年9月15日現在ではこのセキュリティパッチによる修正対象の脆弱性を狙った攻撃は確認されていませんが、早急な適用が強く推奨されます。

SUPEE-10266の重要なポイント

Magentoのセキュリティ関連の情報を扱う、「Security Center」では、このセキュリティパッチの適用によって、主に以下の脆弱性が修正されるとしています。

  • 管理画面のRSS閲覧に関するセッションの権限昇格
  • CMS機能とレイアウトにおける管理画面でのリモートコード実行
  • app/etc/local.xmlの暗号化キーの漏洩の恐れ
  • テンプレート設定によるディレクトリトラバーサル
  • 顧客グループ設定におけるCSRFとXSS
  • 管理者向け通知機能におけるXSS
  • 非Apache環境における実行可能ファイルのアップロードの危険性
  • ニュースレターテンプレートにおけるCSRFとXSS
  • 管理画面の注文ステータスの名称におけるXSS
  • 顧客セグメント機能における不適切なHTTPメソッドの取扱い
  • 注文商品のカスタムオプション情報漏洩の恐れ
  • 管理者ログイン画面のオートコンプリート機能の不適切な取扱い
  • セキュアCookieにおける不適切な有効期限による中間者攻撃の恐れ

今回はリモートコード実行やクロスサイトリクエストフォージェリ(CSRF)が多く含まれており、特に管理画面関連の修正が多いため、注意が必要です。

修正される脆弱性・不具合

では、SUPEE-10266で修正される脆弱性を個別に取り上げていきましょう。
このパッチでは13件の脆弱性・不具合が修正されています。
危険度「高」以上が7件、「中」が6件含まれています。特にリモートコード実行やSQLインジェクションは危険なので、可能な限り速やかにパッチを適用することが望ましいといえます。

SUPEE-10266で修正される脆弱性
脆弱性番号概要種別CVSS v3 リスクレベル対象バージョン
APPSEC-1838 管理画面のRSS閲覧に関するセッションの権限昇格 権限昇格 8.2(高)  CE 1.9.3.6
EE 1.14.3.6 
APPSEC-1800 CMS機能とレイアウトにおける管理画面でのリモートコード実行 リモートコード実行 8.2(高)  CE 1.9.3.6
EE 1.14.3.6
APPSEC-1835 app/etc/local.xmlの暗号化キーの漏洩の恐れ 情報漏えい 8.2(高) CE 1.9.3.6
EE 1.14.3.6
APPSEC-1757 テンプレート設定によるディレクトリトラバーサル ディレクトリトラバーサル 6.1(中) CE 1.9.3.6
EE 1.14.3.6 
APPSEC-1852 顧客グループ設定におけるCSRFとXSS CSRF+XSS 6.0(中) CE 1.9.3.6
EE 1.14.3.6 
APPSEC-1494 管理者向け通知機能におけるXSS XSS  5.9(中) CE 1.9.3.6
EE 1.14.3.6
APPSEC-1793 非Apache環境における実行可能ファイルのアップロードの危険性 リモートコード実行 5.8(中) CE 1.9.3.6
EE 1.14.3.6 
APPSEC-1853 ニュースレターテンプレートにおけるCSRFとXSS CSRF + XSS  5.5(中) CE 1.9.3.6
EE 1.14.3.6 
APPSEC-1729 管理画面の注文ステータスの名称におけるXSS CSRF 5.5(中) CE 1.9.3.6
EE 1.14.3.6
APPSEC-1579 顧客セグメント機能における不適切なHTTPメソッドの取扱い CSRF  5.1(中) EE 1.14.3.6
APPSEC-1588 注文商品のカスタムオプション情報漏洩の恐れ 情報漏えい  4.9(中) CE 1.9.3.6
EE 1.14.3.6 
APPSEC-1599 管理者ログイン画面のオートコンプリート機能の不適切な取扱い 情報漏えい 4.1(中) CE 1.9.3.6
EE 1.14.3.6
APPSEC-1688 セキュアCookieにおける不適切な有効期限による中間者攻撃の恐れ 不適切なセッション期限 3.8(低) CE 1.9.3.6
EE 1.14.3.6 

SUPEE-10266を入手するには

Magento1.xのセキュリティパッチは、公式サイトのダウンロードページから入手できます。
適用対象サイトのバージョンに合ったパッチをダウンロードして、適用してください。

パッチの適用が難しい方へ

弊社では自力でのセキュリティパッチの適用が難しい方に対し、パッチ適用を行うサービスをご提供しております。
ご不安な場合はお問い合わせ下さい。

なお、弊社でMagento保守サービスをご契約のお客様につきましては、弊社側でのパッチ適用による影響範囲の特定や、動作検証を進めております。順次適用を行いますのでご安心ください。