概要
Adobe Commerce (旧 Magento) に入力検証の不備に起因するセッション乗っ取り脆弱性が発見されました。この脆弱性を悪用することで、攻撃者は正規ユーザーのセッションを乗っ取り、不正な操作を実行できる可能性があります。
本脆弱性は CWE-20(不適切な入力検証)に分類されます。入力データに対する検証が不十分であることにより、攻撃者がセッション情報を操作または窃取できる状態にあります。Adobe Commerce は世界中の EC サイトで広く採用されているプラットフォームであり、顧客情報や決済データを扱うため、セッション乗っ取りの影響は極めて深刻です。
本脆弱性は CISA Known Exploited Vulnerabilities (KEV) カタログに掲載されており、実際の攻撃での悪用が確認されています。 米国政府機関には期限内の対応が義務付けられていますが、全ての Adobe Commerce 利用者に対して速やかなセキュリティアップデートの適用が強く推奨されます。既に攻撃が行われていることを踏まえ、パッチ適用に加えて、不正なセッションやアクセスがないか確認することも重要です。
CVSSベクトル
| 指標 | 値 |
|---|---|
| CVSSスコア | 9.1 |
| 深刻度 | Critical |
| CWE | CWE-20 (不適切な入力検証) |
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な特権レベル | 不要 |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| Adobe Commerce | Adobe | 2.4.9-alpha2 以前 |
| Adobe Commerce | Adobe | 2.4.8-p2 以前 |
| Adobe Commerce | Adobe | 2.4.7-p7 以前 |
| Adobe Commerce | Adobe | 2.4.6-p12 以前 |
| Adobe Commerce | Adobe | 2.4.5-p14 以前 |
| Adobe Commerce | Adobe | 2.4.4-p15 以前 |
修正バージョンと回避策
- 修正: Adobe セキュリティアップデート APSB25-88 を適用してください
- 確認事項: 利用中のバージョンが影響を受けるか確認し、速やかにパッチを適用してください
- 追加対応: CISA KEV に掲載されているため、パッチ適用後に不正アクセスの痕跡がないかログを確認することを推奨します
- 注意: 実悪用が確認されているため、対応の優先度は最高レベルです
関連リンク
データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。