問題は、リモートから任意のコードが実行され、システムが完全に危険にさらされるということです。

DefenseCode社の専門家は、オープンプラットフォームで人気のある、eコマースMagentoのコミュニティ版に重大な脆弱性が存在することを警告しています。問題は、リモートから任意のコードが実行され、クレジットカード番号やその他の支払い情報など、顧客の機密情報を含むデータベースシステムが危険にさらされるということです。

この脆弱性は、Magentoのコミュニティ版2.1.6以下のバージョンに影響があります。研究者は2016年11月に、問題について開発者に通知しました。それ以来、同社は4つのアップデートをリリースしていますが、脆弱性を修正しませんでした。現時点で、この問題が悪用されたとの報告はありませんが、未修正の期間を考えると、リスクは十分に高いです。専門家によると、両方のプラットフォーム(コミュニティ版と商用版)は基本、同じ脆弱性が存在するソースコードを利用しているため、Magentoのエンタープライズの商用版に影響を与える可能性があります。

この問題は、管理者がビデオ自体を参照して、製品の説明、および画像プレビューでVimeoのビデオを追加するというMagentoのコミュニティ版の機能に関連したものです。画像のウェブアドレスが他のファイル（例えば、PHP）を参照している場合、アプリはエラーメッセージを返しますが、ときに、チェックするためにファイルをダウンロードします。ファイルが画像でない場合、アプリケーションが、間違ったファイルフォーマットである旨の警告を表示しますが、それを削除しません。

任意のコードを実行するには、攻撃者は、PHP、特に、悪意のあるPHPスクリプトを実行できるように、まず、コンフィギュレーション・ファイルの.htaccessをダウンロードしておく必要があります。

この脆弱性は、ビデオ接続の機能は、認証（オプション、デフォルトで有効な「URLへの秘密鍵追加」）を必要としているため、直接、悪用することはできません。攻撃者は、被害者のサイト上にアカウントを持っている必要がありますが、低い権限を持つ通常の登録でも、管理者をクラッキングするのに十分です。

記事提供元: http://www.securitylab.ru

翻訳: Kazunori Yoshida