ECサイト構築で広く利用されているMagentoに、深刻なセキュリティ問題が報告されています。この脆弱性は、ログイン不要で不正なファイルをアップロードできる可能性があり、条件によってはサーバーの遠隔操作やアカウント乗っ取りにつながるおそれがあります。現時点で実際の悪用は確認されていないものの、設定状況によって影響範囲が大きく変わる点が懸念されています。
The Hacker News:Magento PolyShell Flaw Enables Unauthenticated Uploads, RCE and Account Takeover
この記事のポイント
影響のあるシステム
- Magento Open Source(2.4.9-alpha2までのすべてのバージョン)
- Adobe Commerce(同様に2.4.9-alpha2までのバージョン)
- REST APIを利用したカート機能(カスタムオプションでファイルアップロードを扱う環境)
- Adobeの推奨設定とは異なる、独自のWebサーバー設定(Apache/nginx)を運用している環境
推奨される対策
- アップロードディレクトリ(pub/media/custom_options/)へのアクセス制限を実施
- nginxやApacheの設定で該当ディレクトリへの直接アクセスを遮断
- Webシェルやバックドアなど不審ファイルのスキャンを実施
- WAF(Web Application Firewall)の導入・適用を検討
上記の対策は、元記事の事実に基づき日本の読者向けに整理したものです。
この記事に出てくる専門用語
- RCE(Remote Code Execution):外部からサーバー上で任意のプログラムを実行されてしまう重大な脆弱性です。
- XSS(クロスサイトスクリプティング):Webページに悪意のあるスクリプトを埋め込み、ユーザーの情報を盗む攻撃手法です。
- WAF:Webアプリケーションの通信を監視し、不正なリクエストを遮断するセキュリティ対策製品です。
脆弱性の仕組みと想定されるリスク
今回報告された「PolyShell」と呼ばれる問題は、MagentoのREST APIにおけるファイルアップロード処理に起因しています。本来、商品オプションとして画像などをアップロードする機能がありますが、この仕組みを悪用し、攻撃者が不正なコードを含むファイルを送信できる可能性があるとされています。特徴的なのは、悪意のあるプログラムを画像ファイルのように偽装してアップロードできる点です。
アップロードされたファイルはサーバー上の特定ディレクトリに保存されますが、Webサーバーの設定によってはそのファイルが直接実行される可能性があります。その結果、PHPコードが実行されることでサーバーの乗っ取りにつながるおそれがあります。また、別の条件では保存型XSSが成立し、管理者やユーザーのセッション情報が盗まれるなど、アカウント乗っ取りのリスクも考えられています。
このように、単なるファイルアップロード機能が攻撃の入口となり、複数の攻撃手法に発展する点が今回の脆弱性の特徴です。特にECサイトでは顧客情報を扱うため、影響が広範囲に及ぶ可能性があります。
修正状況と現場での注意点
この問題については、Adobeが提供するMagentoの2.4.9系プレリリース版において修正が行われていると報告されています。ただし、現時点で一般的に利用されている本番環境向けのバージョンには、個別の修正パッチが提供されていない状況です。そのため、多くの運用環境では即時のアップデートによる解決が難しい可能性があります。
さらに注意すべき点として、Webサーバーの設定が環境ごとに異なることが挙げられます。Adobeは推奨設定を提示していますが、実際にはホスティング事業者や運用ポリシーに応じて独自設定が採用されているケースが多く、これが脆弱性の影響範囲を広げる要因になり得ます。
また、ディレクトリへのアクセス制限を実施した場合でも、ファイルのアップロード自体は防げないと指摘されています。そのため、単一の対策に依存するのではなく、複数の防御策を組み合わせることが重要と考えられます。
大規模攻撃キャンペーンとの関連性
今回の脆弱性報告と並行して、Magentoを標的とした大規模な攻撃活動も確認されています。調査によると、2026年2月末から複数の業界・地域にまたがるECサイトが侵害され、改ざんされる事例が続いているとのことです。この攻撃では、公開ディレクトリにテキストファイルをアップロードする手法が使われ、約15,000のホスト名に影響が及んだとされています。
対象には、グローバル企業や政府関連サービスも含まれており、影響範囲の広さが際立っています。ただし、この攻撃が今回のPolyShell脆弱性を直接利用したものか、あるいは設定ミスなど別の要因によるものかは現時点で明確になっていません。
一部の観測では、別のディレクトリに悪意あるPHPファイルがアップロードされた事例も確認されており、複数の攻撃手法が併用されている可能性もあります。こうした状況から、単一の脆弱性だけでなく、運用設定や既知の攻撃手法全体を視野に入れた防御が求められています。
