概要
Adobe Commerce(旧 Magento)は 広く 利用 されて いる EC プラットフォーム です。入力 検証 の 不備(Improper Input Validation)に より、セッション ハイジャック が 可能 な 脆弱性 が 存在 します。
この 脆弱性 は ユーザー の 操作 を 必要 と せず に 悪用 可能 で あり、CISA の KEV(Known Exploited Vulnerabilities)カタログ に 掲載 されて いる こと から、実際 の 攻撃 に 利用 されて いる 可能性 が あります。CWE-20(不適切な入力検証)に 分類 されます。
影響 を 受ける バージョン の Adobe Commerce を 運用 して いる 環境 で は、直ちに セキュリティパッチ の 適用 が 必要 です。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 9.1 |
| 深刻度 | Critical |
| CWE | CWE-20 (不適切な入力検証) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| Adobe Commerce | Adobe | 2.4.9-alpha2, 2.4.8-p2, 2.4.7-p7 等 |
修正バージョンと回避策
- 修正バージョン: Adobe が 提供 する 最新 の セキュリティパッチ を 適用 する
- 暫定回避策: WAF に よる セッション 関連 の 不正 リクエスト の フィルタリング。セッション 管理 の 設定 強化(セッション タイムアウト の 短縮、IP 固定 等)
- 注意: CISA KEV カタログ に 掲載 されて おり、米国 連邦機関 は 期限 内 の 修正 が 義務付け られて います
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。