ニュース

「Adobe Commerce」「Magento」に致命的なゼロデイ脆弱性 ~任意コード実行の恐れ

「Adobe Commerce」の顧客を標的とした限定的な攻撃を確認済み

「Magento」および「Adobe Commerce」関するセキュリティ情報「APSB22-12」

 米Adobeは2月14日(現地時間)、オープンソースで開発されているECプラットフォーム「Magento」、および「Magento」をベースにした同社製品「Adobe Commerce」に関するセキュリティ情報「APSB22-12」を発表した。すでに「Adobe Commerce」の顧客を標的とした限定的な攻撃が確認されているという。

 影響を受けるのは、「Magento」v2.4.3-p1/2.3.7-p2以前と「Adobe Commerce」v2.4.3-p1/2.3.7-p2以前。不適切な入力検証が原因で任意のコードを実行される恐れ(CVE-2022-24086)があり、深刻度は同社の基準で最も高い「Critical」(CVSS:3.1のスコアは9.8)と評価されている。

 同社は、「Magento」および「Adobe Commerce」向けのパッチ「MDVA-43395_EE_2.4.3-p1_v1」を公開済み。適用優先度は「1」とされており、同社の公開したセキュリティアドバイザリを参照しながら、直ちに適用されることが推奨されている。