Shopware において Object Instantiation により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report) | ScanNetSecurity
2024.04.16(火)

Shopware において Object Instantiation により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)

EC サイト向け CMS ソフトウェアである Shopware に、悪意のある Phar ファイルをアップロードして、遠隔から任意のコードを実行させることが可能となる脆弱性が報告されています。

脆弱性と脅威 エクスプロイト
https://en.shopware.com/
https://en.shopware.com/ 全 1 枚 拡大写真
◆概要

 EC サイト向け CMS ソフトウェアである Shopware に、遠隔から任意のコードが実行可能となる脆弱性が報告されています。脆弱性を悪用されてしまった場合は、Shopware が稼働している Web サーバの起動権限で、任意のコードが実行されてしまいます。最新版で当該脆弱性が修正されていないため、認証情報の強化または他の CMS ソフトウェアを利用することで対策してください。

◆分析者コメント

 当該脆弱性は 2017 年末に報告されているものですが、2019 年 5 月になり遠隔から任意のコードを実行する検証コードが公開されました。脆弱性の悪用には、管理用コンソールへのアクセスに成功していることが前提となる脆弱性ですが、GitHub に公開されている最新版の Shopware においても当該脆弱性が修正されていないため、認証情報の強化や代替の CMS ソフトウェアの移行により対策してください。

◆深刻度(CVSS)

[CVSS v3]
6.5
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2017-18357&vector=AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

[CVSS v2]
4.0
https://nvd.nist.gov/vuln-metrics/cvss/v2-calculator?name=CVE-2017-18357&vector=(AV:N/AC:L/Au:S/C:P/I:N/A:N)

◆影響を受けるソフトウェア

 Shopware の GitHub での最新版であるバージョン 5.6 を含む全てのハージョンが当該脆弱性の影響を受けると報告されています。

◆解説

 EC サイト向け CMS ソフトウェアである Shopware に、悪意のある Phar ファイルをアップロードして、遠隔から任意のコードを実行させることが可能となる脆弱性が報告されています。

《株式会社ラック デジタルペンテスト部》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性

    東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性

  2. マリンネットサイトに SQL インジェクション攻撃、メールアドレス流出

    マリンネットサイトに SQL インジェクション攻撃、メールアドレス流出

  3. 「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ~ JPAAWG 6th General Meeting レポート

    「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ~ JPAAWG 6th General Meeting レポート

  4. 山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

    山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

  5. プルーフポイント、マルウェア配布する YouTube チャンネル特定

    プルーフポイント、マルウェア配布する YouTube チャンネル特定

  6. 警察庁、サイバー事案通報の統一窓口を設置

    警察庁、サイバー事案通報の統一窓口を設置

  7. 委託事業者が回収処理した国民健康保険証、拾得物として警察署に届く

    委託事業者が回収処理した国民健康保険証、拾得物として警察署に届く

  8. チラシ記載の QR コードを誤って管理者用 URL から作成、申込者の個人情報が閲覧可能に

    チラシ記載の QR コードを誤って管理者用 URL から作成、申込者の個人情報が閲覧可能に

  9. マイクロソフトが 4 月のセキュリティ情報公開、悪用の事実を確認済みの脆弱性が 1 件

    マイクロソフトが 4 月のセキュリティ情報公開、悪用の事実を確認済みの脆弱性が 1 件

  10. 日水コン コーポレートサイトに不正アクセス、個人情報一部流出の可能性

    日水コン コーポレートサイトに不正アクセス、個人情報一部流出の可能性

ランキングをもっと見る