Magento1.5以降に対するセキュリティパッチのリリースが行われました。
新たにリリースされたセキュリティパッチ「SUPEE-10888」はMagento Community Edition 1.5.0.0以降のバージョンが対象となっており、23件の脆弱性が修正されます。2018年9月19日現在ではこのセキュリティパッチによる修正対象の脆弱性を狙った攻撃は確認されていませんが、早急な適用が強く推奨されます。

SUPEE-10888の重要なポイント

Magentoのセキュリティ関連の情報を扱う、「Security Center」では、このセキュリティパッチの適用によって、主に以下の脆弱性が修正されるとしています。

  • XMLインジェクション
  • 管理画面でのクロス・サイト・スクリプティング
  • 権限昇格・情報漏えい

今回は管理画面関連の修正と、パスワード関連の改良が含まれている点に注意が必要です。

修正される脆弱性・不具合

では、SUPEE-10888で修正される脆弱性を個別に取り上げていきましょう。
このパッチでは11件の脆弱性・不具合が修正されています。
危険度「中」が5件含まれています。今回は高レベルの脆弱性はありませんが、Magentoを狙ったマルウェアも横行していますので、可能な限り速やかにパッチを適用することが望ましいといえます。

SUPEE-10888で修正される脆弱性
脆弱性番号概要種別CVSS v3 リスクレベル対象バージョン
APPSEC-2061 レイアウトの挿入による権限のないデータへのアクセス XMLインジェクション 6.9(中)  EE 1.14.3.10
CE 1.9.3.10
APPSEC-1971 管理画面におけるリフレクション型XSS XSS 6.1(中)  EE 1.14.3.10
CE 1.9.3.10
APPSEC-2067 管理画面におけるカスタム属性ラベルのXSS XSS 5.9(中) EE 1.14.3.10
CE 19.3.10
APPSEC-2066 管理画面におけるメディア属性ラベルのXSS XSS 5.9(中) CE 1.9.3.10
EE 1.14.3.10 
APPSEC-2060 レビュー機能における権限昇格 権限昇格 5.9(中) CE 1.9.3.10
EE 1.14.3.10 
APPSEC-1859 パスワードリセットURLに顧客IDが含まれる問題 情報漏えい なし CE 1.9.3.10
EE 1.14.3.10
APPSEC-1730 DownloaderがHTTPSを強制しない問題 改良 なし CE 1.9.3.10
EE 1.14.3.10 
APPSEC-1936 顧客パスワードの復元に関する問題 権限昇格
情報漏えい
なし CE 1.9.3.10
EE 1.14.3.10 
APPSEC-1933 Moxieplayerによるリダイレクト 設定の不備 なし CE 1.9.3.10
EE 1.14.3.10
APPSEC-2002 新しい管理者アカウント作成時の通知メール 機能追加 なし CE 1.9.3.10
EE 1.14.3.10
APPSEC-1790 ギフトカードレジストリに対するXMLインジェクション XMLインジェクション なし CE 1.9.3.10
EE 1.14.3.10

SUPEE-10888を入手するには

Magento1.xのセキュリティパッチは、公式サイトのダウンロードページから入手できます。
適用対象サイトのバージョンに合ったパッチをダウンロードして、適用してください。

パッチの適用が難しい方へ

弊社では自力でのセキュリティパッチの適用が難しい方に対し、パッチ適用を行うサービスをご提供しております。
ご不安な場合はお問い合わせ下さい。

なお、弊社でMagento保守サービスをご契約のお客様につきましては、すでに適用が完了しておりますのでご安心ください。