Shopware において Object Instantiation により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report) | ScanNetSecurity
2020.08.05(水)

Shopware において Object Instantiation により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)

EC サイト向け CMS ソフトウェアである Shopware に、悪意のある Phar ファイルをアップロードして、遠隔から任意のコードを実行させることが可能となる脆弱性が報告されています。

脆弱性と脅威 エクスプロイト
https://en.shopware.com/
https://en.shopware.com/ 全 1 枚 拡大写真
◆概要

 EC サイト向け CMS ソフトウェアである Shopware に、遠隔から任意のコードが実行可能となる脆弱性が報告されています。脆弱性を悪用されてしまった場合は、Shopware が稼働している Web サーバの起動権限で、任意のコードが実行されてしまいます。最新版で当該脆弱性が修正されていないため、認証情報の強化または他の CMS ソフトウェアを利用することで対策してください。

◆分析者コメント

 当該脆弱性は 2017 年末に報告されているものですが、2019 年 5 月になり遠隔から任意のコードを実行する検証コードが公開されました。脆弱性の悪用には、管理用コンソールへのアクセスに成功していることが前提となる脆弱性ですが、GitHub に公開されている最新版の Shopware においても当該脆弱性が修正されていないため、認証情報の強化や代替の CMS ソフトウェアの移行により対策してください。

◆深刻度(CVSS)

[CVSS v3]
6.5
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2017-18357&vector=AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

[CVSS v2]
4.0
https://nvd.nist.gov/vuln-metrics/cvss/v2-calculator?name=CVE-2017-18357&vector=(AV:N/AC:L/Au:S/C:P/I:N/A:N)

◆影響を受けるソフトウェア

 Shopware の GitHub での最新版であるバージョン 5.6 を含む全てのハージョンが当該脆弱性の影響を受けると報告されています。

◆解説

 EC サイト向け CMS ソフトウェアである Shopware に、悪意のある Phar ファイルをアップロードして、遠隔から任意のコードを実行させることが可能となる脆弱性が報告されています。

《株式会社ラック サイバー・グリッド研究所》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. iPhoneに不審なカレンダーなどが表示される報告が相次ぐ(IPA)

    iPhoneに不審なカレンダーなどが表示される報告が相次ぐ(IPA)

  2. 攻撃活動が再開した「Emotet」の観測状況を公開(IPA)

    攻撃活動が再開した「Emotet」の観測状況を公開(IPA)

  3. 初心者向けにサイバーセキュリティ・リレー講座 全8回を実施(経済産業省四国経済産業局)

    初心者向けにサイバーセキュリティ・リレー講座 全8回を実施(経済産業省四国経済産業局)

  4. 再委託先が設定ミス「中小企業等支援策活用サポートセンター」相談者情報が閲覧可能に(京都市)

    再委託先が設定ミス「中小企業等支援策活用サポートセンター」相談者情報が閲覧可能に(京都市)

  5. 脆弱性届出、製品別は「ルータ」が最多に--第2四半期レポート(IPA、JPCERT/CC)

    脆弱性届出、製品別は「ルータ」が最多に--第2四半期レポート(IPA、JPCERT/CC)

  6. 不正アクセスにより「MITERAS」装った迷惑メール不正中継(パーソルプロセス&テクノロジー)

    不正アクセスにより「MITERAS」装った迷惑メール不正中継(パーソルプロセス&テクノロジー)

  7. 「ショップチャンネル」にパスワードリスト型攻撃、定常的なモニタリングで発覚(ジュピターショップチャンネル)

    「ショップチャンネル」にパスワードリスト型攻撃、定常的なモニタリングで発覚(ジュピターショップチャンネル)

  8. 増加するランサムウェア攻撃、世界中の事例を紹介(CrowdStrike)

    増加するランサムウェア攻撃、世界中の事例を紹介(CrowdStrike)PR

  9. 破産者等の個人情報掲載サイトに停止命令、対応なき場合 罰則求める刑事告発予定(個人情報保護委員会)

    破産者等の個人情報掲載サイトに停止命令、対応なき場合 罰則求める刑事告発予定(個人情報保護委員会)

  10. ハードディスク処分、テクニカルセンター内映像をYouTube公開(ブロードリンク)

    ハードディスク処分、テクニカルセンター内映像をYouTube公開(ブロードリンク)

ランキングをもっと見る