「Adobe Commerce」「Magento」に致命的なゼロデイ脆弱性 ～任意コード実行の恐れ

「Magento」および「Adobe Commerce」関するセキュリティ情報「APSB22-12」

　米Adobeは2月14日（現地時間）、オープンソースで開発されているECプラットフォーム「Magento」、および「Magento」をベースにした同社製品「Adobe Commerce」に関するセキュリティ情報「APSB22-12」を発表した。すでに「Adobe Commerce」の顧客を標的とした限定的な攻撃が確認されているという。

　影響を受けるのは、「Magento」v2.4.3-p1/2.3.7-p2以前と「Adobe Commerce」v2.4.3-p1/2.3.7-p2以前。不適切な入力検証が原因で任意のコードを実行される恐れ（CVE-2022-24086）があり、深刻度は同社の基準で最も高い「Critical」（CVSS:3.1のスコアは9.8）と評価されている。

　同社は、「Magento」および「Adobe Commerce」向けのパッチ「MDVA-43395_EE_2.4.3-p1_v1」を公開済み。適用優先度は「1」とされており、同社の公開したセキュリティアドバイザリを参照しながら、直ちに適用されることが推奨されている。