Magento1.5以降を対象としたセキュリティパッチSUPEE-11086が公開されました
この記事は公開から 1年以上が経過しています。現在の最新情報との整合性については弊社では一切の責任を負いかねます。
Magento1.5以降に対するセキュリティパッチのリリースが行われました。
新たにリリースされたセキュリティパッチ「SUPEE-11086」はMagento Community Edition 1.5.0.0以降のバージョンが対象となっており、リモートコード実行やCSRFを含む25件の脆弱性が修正されます。2019年3月27日現在ではこのセキュリティパッチによる修正対象の脆弱性を狙った攻撃は確認されていませんが、早急な適用が強く推奨されます。
SUPEE-11086の重要なポイント
Magentoのセキュリティ関連の情報を扱う、「Security Center」では、このセキュリティパッチの適用によって、主に以下の脆弱性が修正されるとしています。
- SQLインジェクション
- リモートコード実行
- クロス・サイト・スクリプティング
- クロス・サイト・リクエスト・フォージェリ(CSRF)
- 情報漏えい
- 権限昇格
修正される脆弱性・不具合
では、SUPEE-11086で修正される脆弱性を個別に取り上げていきましょう。
このパッチでは25件の脆弱性・不具合が修正されますが、その中にはCVSS v3におけるリスクレベル7以上がが10件含まれています。Magentoを狙ったマルウェアも横行していますので、可能な限り速やかにパッチを適用することが望ましいといえます。
| 脆弱性番号 | 概要 | 種別 | CVSS v3 リスクレベル | 対象バージョン |
|---|---|---|---|---|
| PRODSECBUG-2198 | 未認証のユーザーによるSQLインジェクション | SQLインジェクション | 9.0 | CE 1.9.4.1 EE 1.14.4.1 |
| PRODSECBUG-2285 | Redisを介したサーバー側でのCSRF | CSRF | 9.0 | CE 1.9.4.1 EE 1.14.4.1 |
| PRODSECBUG-2273 | 商品属性設定の不備によるリモートコード実行 | リモートコード実行 | 8.5 | CE 1.9.4.1 EE 1.14.4.1 |
| PRODSECBUG-2261 | PHPアーカイブの不適切なデシリアライズによるコード実行 | リモートコード実行 | 8.5 | CE 1.9.4.1 EE 1.14.4.1 |
| PRODSECBUG-2253 | Nginxにおける細工された顧客属性を介したPHPリモートコード実行 | リモートコード実行 | 8.5 | CE 1.9.4.1 EE 1.14.4.1 |
| PRODSECBUG-2210 | 不正なXMLデータを使用したリモートコード実行 | リモートコード実行 | 8.5 | CE 1.9.4.1 EE 1.14.4.1 |
| PRODSECBUG-2252 | PHPアップロード制限を迂回したリモートコード実行 | リモートコード実行 | 8.5 | CE 1.9.4.1 EE 1.14.4.1 |
| PRODSECBUG-2232 | レイアウトXMLデータの検証処理を迂回した不正コード実行 | リモートコード実行 | 8 | CE 1.9.4.1 EE 1.14.4.1 |
| PRODSECBUG-2245 | エスケープ処理の不備によるXSS | XSS | 7.6 | CE 1.9.4.1 EE 1.14.4.1 |
| PRODSECBUG-2182 | 管理画面におけるウィジェット選択でのXSS | XSS | 6.5 | CE 1.9.4.1 EE 1.14.4.1 |
| MPERF-10416 | CSRFによるカタログ価格ルールの削除 | CSRF | 5.8 | CE 1.9.4.1 EE 1.14.4.1 |
| MPERF-10400 | CSRFによる商品データの削除 | CSRF | 5.8 | CE 1.9.4.1 EE 1.14.4.1 |
| PRODSECBUG-2178 | クーポン管理画面におけるXSS | XSS | 5.8 | CE 1.9.4.1 EE 1.14.4.1 |
| PRODSECBUG-2227 | CSRFによるSOAP/XML-RPCユーザーと権限の削除 | CSRF | 5.8 | CE 1.9.4.1 EE 1.14.4.1 |
| PRODSECBUG-2222 | CSRFによる管理者権限の削除 | CSRF | 5.8 | CE 1.9.4.1 EE 1.14.4.1 |
| PRODSECBUG-2220 | CSRFによるデザイン設定の削除 | CSRF | 5.8 | CE 1.9.4.1 EE 1.14.4.1 |
| PRODSECBUG-2212 | CSRFによるクーポン定義データの削除 | CSRF | 5.8 | CE 1.9.4.1 EE 1.14.4.1 |
| PRODSECBUG-2254 | CSRFによるREST API関連のデータ削除 | CSRF | 5.8 | CE 1.9.4.1 EE 1.14.4.1 |
| PRODSECBUG-2195 | CSRFによる商品属性の削除 | CSRF | 5.8 | CE 1.9.4.1 EE 1.14.4.1 |
| PRODSECBUG-2225 | CSRFによる管理者ユーザーの削除 | CSRF | 5.8 | CE 1.9.4.1 EE 1.14.4.1 |
| PRODSECBUG-2244 | メールテンプレートプレビューにおけるXSS | XSS | 5.5 | CE 1.9.4.1 EE 1.14.4.1 |
| PRODSECBUG-2230 | 値チェックの不備による意図しないデータ操作 | CSRF | 5.4 | CE 1.9.4.1 EE 1.14.4.1 |
| PRODSECBUG-2197 | 管理者認証情報がエラーログに記録される | 情報漏えい | 3.9 | CE 1.9.4.1 EE 1.14.4.1 |
| PRODSECBUG-2186 | 注文一覧への不正なオブジェクト参照によるアクセス | 権限昇格 | 3.7 | CE 1.9.4.1 EE 1.14.4.1 |
SUPEE-11086を入手するには
Magento1.xのセキュリティパッチは、公式サイトのダウンロードページから入手できます。
適用対象サイトのバージョンに合ったパッチをダウンロードして、適用してください。
パッチの適用が難しい方へ
弊社では自力でのセキュリティパッチの適用が難しい方に対し、パッチ適用を行うサービスをご提供しております。
ご不安な場合はお問い合わせ下さい。
なお、弊社でMagento保守サービスをご契約のお客様につきましては、すでに適用が完了しておりますのでご安心ください。
