Adobe、Magento CMS の複数の重大な脆弱性を修正

今週、Adobe は Magento プラットフォームの重大度の高い複数の脆弱性に対処しました。これにより、何十万もの Web サイトが任意のコード実行や顧客リストの改ざん攻撃に対して脆弱になりました。

Magento は、WordPress に次いで 2 番目に人気のあるコンテンツ管理システム (CMS) プラットフォームであり、250,000 を超えるアクティブな e コマース サイトを支えており、これはすべてのオンライン ストアの約 12% を占めています。また、Magento.com によると、Magento ベースのサイトは毎年 1,550 億ドル以上のトランザクションを処理しています。

発見された Magento の脆弱性と影響を受ける Magento のバージョン

アドビはセキュリティ速報 [ASPB20-59] で、Magento Commerce および Magento Open Source プラットフォームに影響する合計 9 つの脆弱性に対するパッチをリリースしました。これら 9 つの脆弱性のうち 8 つが重大または重要と見なされ、1 つが中程度の Magento 脆弱性と見なされます。

Magento プラットフォームの 2 つの重大な欠陥は、ファイル アップロード許可リストのバイパス (CVE-2020-24407) および SQL インジェクション (CVE-2020-24400) として追跡されており、ハッカーが任意のコードを実行でき、読み取りまたは書き込みアクセスを与えることさえできます。被害者の Magento サイトのデータベースに。しかし、どちらの欠陥も、ハッカーがすでに管理者権限を取得している必要があります。

一方、保存された XSS (CVE-2020-24408) が悪用された場合、ハッカーはブラウザーで JavaScript を任意に実行できます。これには、悪用のための事前認証 (つまり、管理者権限) は必要ありません。

Astra Security Magento Firewall を使用している Magneto サイト 上記のすべての脆弱性の露出からすでに保護されています。

セキュリティ速報には、影響を受ける Magento プラットフォームのバージョンのリストも記載されています。

これらの脆弱性から Magento サイトを保護する方法

Web サイトまたは e コマース ストアが古いバージョンの Magento で実行されている場合、これらの脆弱性から Magento サイト/ストアを保護するために、インストールを最新バージョンに更新することを強くお勧めします。各 Magento 製品の更新/最新バージョンのリストは次のとおりです:

さらに、Web サイトまたは e コマース ストアに Web アプリケーション ファイアウォール (WAF) をインストールすることも常に役立ちます。 WAF は、サイト ファイル、プラグイン、拡張機能、およびテーマの潜在的な脆弱性に対するセキュリティを提供できます。

Web サイトでの Astra Security マグネト ファイアウォールの仕組み

Astra Security WAF は、悪意のあるトラフィックと潜在的な脅威をフィルタリングし、Web サイト / e コマース ストアにインテリジェントな保護を提供します。 XSS、SQLi、CSRF、悪意のあるボット、OWASP トップ 10 および 100 以上のその他のサイバー攻撃をブロックします。このインテリジェントなファイアウォールは、Web サイトの訪問者パターンを検出し、悪意のあるハッカーを自動的にブロックします。