Magento1.5以降に対するセキュリティパッチのリリースが行われました。
新たにリリースされたセキュリティパッチ「SUPEE-11155」はMagento Community Edition 1.5.0.0以降のバージョンが対象となっており、リモートコード実行やCSRFを含む44件の脆弱性が修正されます。2019年6月26日現在ではこのセキュリティパッチによる修正対象の脆弱性を狙った攻撃は確認されていませんが、早急な適用が強く推奨されます。

SUPEE-11155の重要なポイント

Magentoのセキュリティ関連の情報を扱う、「Security Center」では、このセキュリティパッチの適用によって、主に以下の脆弱性が修正されるとしています。

  • リモートコード実行
  • クロス・サイト・スクリプティング
  • クロス・サイト・リクエスト・フォージェリ(CSRF)
  • 情報漏えい
  • 暗号化の不備
  • 権限昇格

修正される脆弱性・不具合

では、SUPEE-11155で修正される脆弱性を個別に取り上げていきましょう。
このパッチでは44件の脆弱性・不具合が修正されますが、その中にはCVSS v3におけるリスクレベル7以上がが11件含まれています。Magentoを狙ったマルウェアも横行していますので、可能な限り速やかにパッチを適用することが望ましいといえます。

SUPEE-11155で修正される脆弱性
脆弱性番号概要種別CVSS v3 リスクレベル対象バージョン
PRODSECBUG-2289 拡張管理者ログ設定によるリモートコード実行 リモートコード実行 9.1 CE 1.9.4.2
EE 1.14.4.2
PRODSECBUG-2262 不正なデータフロープロファイルを介したリモートコード実行 リモートコード実行 9.1 CE 1.9.4.2
EE 1.14.4.2
PRODSECBUG-2351 細工されたサイトマップ生成によるリモートコード実行 リモートコード実行 9.0 CE 1.9.4.2
EE 1.14.4.2
PRODSECBUG-2324 通貨セットアップ機能へのPHPオブジェクトインジェクションを介したリモートコード実行 リモートコード実行 9.0 CE 1.9.4.2
EE 1.14.4.2
PRODSECBUG-2382 管理者アクションログにおけるPHPオブジェクトインジェクションを介したリモートコード実行 リモートコード実行 8.7 CE 1.9.4.2
EE 1.14.4.2
PRODSECBUG-2312 デザインパッケージにおけるPHPオブジェクトを介したリモートコード実行 リモートコード実行 8.7 CE 1.9.4.2
EE 1.14.4.2
PRODSECBUG-2311 Enterprise Logging機能におけるPHPオブジェクト介したリモートコード実行 リモートコード実行 8.7 CE 1.9.4.2
EE 1.14.4.2
PRODSECBUG-2431 データフローインポートとカタログ機能を介したリモートコード実行 リモートコード実行 8.4 CE 1.9.4.2
EE 1.14.4.2
PRODSECBUG-2320 安全でないシステム設定値の取り扱いによるリモートコード実行 リモートコード実行 7.9 CE 1.9.4.2
EE 1.14.4.2
PRODSECBUG-2319 決済モジュールにおける安全でない値の取り扱いによるリモートコード実行 リモートコード実行 7.9 CE 1.9.4.2
EE 1.14.4.2
PRODSECBUG-2313 設定フィールド値の安全でないデシリアライズ処理によるリモートコード実行 リモートコード実行 7.6 CE 1.9.4.2
EE 1.14.4.2
PRODSECBUG-2317 管理画面における保存されたデータに起因するXSS XSS 5.5 CE 1.9.4.2
EE 1.14.4.2
PRODSECBUG-2226 管理画面における保存されたデータに起因するXSS XSS 5.5 CE 1.9.4.2
EE 1.14.4.2
PRODSECBUG-2352 管理画面における保存されたデータに起因するXSS XSS  5.5 CE 1.9.4.2
EE 1.14.4.2
PRODSECBUG-2334 管理画面における保存されたデータに起因するXSS XSS  5.5 CE 1.9.4.2
EE 1.14.4.2
PRODSECBUG-2333 管理画面における保存されたデータに起因するXSS XSS  5.5 CE 1.9.4.2
EE 1.14.4.2
PRODSECBUG-2275 メールテンプレート編集での安全でない機能によるデータ改変 インジェクション 5.5 CE 1.9.4.2
EE 1.14.4.2
PRODSECBUG-2299 管理画面における保存されたデータに起因するXSS XSS 5.5 CE 1.9.4.2
EE 1.14.4.2
PRODSECBUG-2304 管理画面における保存されたデータに起因するXSS XSS 5.5 CE 1.9.4.2
EE 1.14.4.2
PRODSECBUG-2303 管理画面における保存されたデータに起因するXSS XSS 5.5 CE 1.9.4.2
EE 1.14.4.2
PRODSECBUG-2234 管理画面における保存されたデータに起因するXSS XSS 5.5 CE 1.9.4.2
EE 1.14.4.2
PRODSECBUG-2380 通貨記号フィールドにおける保存されたデータに起因するXSS XSS 5.5 CE 1.9.4.2
EE 1.14.4.2
PRODSECBUG-2353 管理画面における保存されたデータに起因するXSS XSS 5.5 CE 1.9.4.2
EE 1.14.4.2
PRODSECBUG-2363 管理画面における保存されたデータに起因するXSS XSS 5.5 CE 1.9.4.2
EE 1.14.4.2
PRODSECBUG-2371 管理画面における保存されたデータに起因するXSS XSS 5.5 CE 1.9.4.2
EE 1.14.4.2
PRODSECBUG-2378 返品商品コメント機能の保存されたデータに起因するXSS XSS 5.5 CE 1.9.4.2
EE 1.14.4.2
PRODSECBUG-2369 管理画面における保存されたデータに起因するXSS XSS 5.5 CE 1.9.4.2
EE 1.14.4.2
PRODSECBUG-2068 管理画面における保存されたデータに起因するXSS XSS 5.5 CE 1.9.4.2
EE 1.14.4.2
PRODSECBUG-2295 ギフトカードコード生成における不十分な強度の乱数発生器の使用 暗号化の不備 5.3 CE 1.9.4.2
EE 1.14.4.2
PRODSECBUG-2300 不適切な値検証による無効化商品の情報漏えい 情報漏えい 5.3 CE 1.9.4.2
EE 1.14.4.2
PRODSECBUG-2241 「友だちに教える」機能の悪用によるスパム送信 機能の悪用 5.3 CE 1.9.4.2
EE 1.14.4.2
PRODSECBUG-2270 管理画面におけるXSS XSS 5.0 CE 1.9.4.2
EE 1.14.4.2
PRODSECBUG-2282 CSRFによる利用規約データの削除 CSRF 5.0 CE 1.9.4.2
EE 1.14.4.2
PRODSECBUG-2246 WYSIWYGエディタにおける保存されたデータに起因するXSS XSS 4.8 CE 1.9.4.2
EE 1.14.4.2
PRODSECBUG-2395 特定のエラー条件時に顧客パスワードが暗号化されずに記録される 暗号化の不備 4.5 CE 1.9.4.2
EE 1.14.4.2
PRODSECBUG-2301 不適切な値検証による無効化商品の商品名漏洩 情報漏えい 4.3 CE 1.9.4.2
EE 1.14.4.2
PRODSECBUG-2331 アカウント作成時の不十分な強度のパスワード要求 暗号化の不備 4.3 CE 1.9.4.2
EE 1.14.4.2
PRODSECBUG-2095 サードパーティ製チェックアウト機能におけるセッション検証の不備 権限昇格
不適切な認証
3.7 CE 1.9.4.2
EE 1.14.4.2
PRODSECBUG-2330 安全でないユーザー情報の保存方法 暗号化の不備 3.7 CE 1.9.4.2
EE 1.14.4.2
PRODSECBUG-2329 安全でない乱数発生器による乱数生成の問題 暗号化の不備 3.7 CE 1.9.4.2
EE 1.14.4.2
PRODSECBUG-1912 ギフトレジストリ受信側での権限のないデータ削除 権限昇格 3.7 CE 1.9.4.2
EE 1.14.4.2
PRODSECBUG-2387 ギフトカード削除処理におけるCSRF CSRF 3.1 CE 1.9.4.2
EE 1.14.4.2
PRODSECBUG-2305 レビュー削除におけるCSRF CSRF 2.2 CE 1.9.4.2
EE 1.14.4.2
PRODSECBUG-2372 通貨セットアップ機能におけるPHPオブジェクトインジェクションを介したリモートコード実行 リモートコード実行 なし CE 1.9.4.2
EE 1.14.4.2

SUPEE-11155を入手するには

Magento1.xのセキュリティパッチは、公式サイトのダウンロードページから入手できます。
適用対象サイトのバージョンに合ったパッチをダウンロードして、適用してください。

パッチの適用が難しい方へ

弊社では自力でのセキュリティパッチの適用が難しい方に対し、パッチ適用を行うサービスをご提供しております。
ご不安な場合はお問い合わせ下さい。

なお、弊社でMagento保守サービスをご契約のお客様につきましては、すでに適用が完了しておりますのでご安心ください。