CRITICALCVE-2024-20719CVSS 9.1

Magento Open Source での Cross-Site Scripting (XSS) の脆弱性

プラットフォーム

php

コンポーネント

magento/community-edition

修正版

2.4.5

AI Confidence: highNVDEPSS 1.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2024-20719は、Magento Community Editionにおけるクロスサイトスクリプティング(XSS)脆弱性です。この脆弱性は、攻撃者が悪意のあるスクリプトをMagentoの管理画面に挿入することを可能にし、その結果、被害者のブラウザ上でスクリプトが実行され、管理者権限の奪取につながる可能性があります。影響を受けるバージョンは、2.4.6以前です。2.4.4へのアップデートで脆弱性が修正されています。

影響と攻撃シナリオ

このXSS脆弱性は、攻撃者にとって非常に危険です。攻撃者は、Magentoの管理画面に悪意のあるJavaScriptコードを挿入することで、管理者のセッションを乗っ取り、機密情報へのアクセス、データの改ざん、さらにはMagentoストア全体の制御を奪うことが可能になります。攻撃者は、被害者のブラウザ上で悪意のあるスクリプトを実行させることで、ユーザーの認証情報を盗み出したり、フィッシング詐欺を実行したりすることも可能です。この脆弱性の悪用は、Magentoストアの評判を著しく損ない、顧客の信頼を失墜させる可能性があります。類似のXSS脆弱性は、過去に多くのECサイトで確認されており、その影響の大きさが懸念されます。

悪用の状況

CVE-2024-20719は、2024年2月15日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は確認されていませんが、XSS脆弱性は一般的に悪用されやすい脆弱性であるため、注意が必要です。CISAのKEVリストへの登録状況は不明です。公開されているPoCは確認されていませんが、XSS脆弱性の特性上、PoCが公開される可能性は高いと考えられます。

リスク対象者翻訳中…

Organizations running Magento Community Edition versions 2.4.6-p3, 2.4.5-p5, 2.4.4-p6, and earlier are at significant risk. Specifically, those with limited resources for immediate patching or those relying on shared hosting environments where patching is managed by the hosting provider are particularly vulnerable. Magento installations with weak admin panel access controls are also at higher risk.

検出手順翻訳中…

• wordpress / composer / npm:

grep -r "<script" /var/www/html/app/code/Magento/Admin/block/

• generic web:

curl -I https://your-magento-site.com/admin/ | grep -i "X-XSS-Protection"

• generic web:

curl -I https://your-magento-site.com/admin/ | grep -i "Content-Security-Policy"

攻撃タイムライン

2024-02-15Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

1.15% (78% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響total

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントmagento/community-edition

ベンダーosv

影響範囲修正版

0 – 2.4.4-p62.4.5

弱点分類 (CWE)

CWE-79

タイムライン

予約済み2023-12-04
公開日2024-02-15
更新日2025-03-04
EPSS 更新日2026-04-02

公開後-686日でパッチ適用

緩和策と回避策

この脆弱性への最も効果的な対策は、Magento Community Editionをバージョン2.4.4以降にアップデートすることです。アップデートがすぐに適用できない場合は、WAF（Web Application Firewall）を導入し、XSS攻撃を検知・防御するルールを設定することを推奨します。また、入力値の検証を強化し、管理画面への不正なスクリプトの挿入を防止するための対策を講じることも重要です。Magentoのセキュリティ設定を見直し、不要な機能やプラグインを無効化することで、攻撃対象領域を縮小することも有効です。アップデート後、Magentoの管理画面にログインし、セキュリティ関連のログを確認し、不正なアクセスがないか確認してください。

修正方法

Adobe Commerce を利用可能な最新バージョンにアップデートしてください。 詳細と修正されたバージョンについては、Adobe のセキュリティアドバイザリを参照してください。 Adobe が提供するセキュリティパッチをできるだけ早く適用してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-20719 — XSS in Magento Community Editionとは何ですか？

CVE-2024-20719は、Magento Community Edition 2.4.6以前のバージョンに存在するクロスサイトスクリプティング(XSS)脆弱性で、攻撃者が悪意のあるスクリプトを挿入し、管理者権限を奪取する可能性があります。

CVE-2024-20719 in Magento Community Editionの影響を受けていますか？

Magento Community Editionのバージョンが2.4.6以前の場合は、影響を受けています。バージョン2.4.4以降にアップデートしてください。

CVE-2024-20719 in Magento Community Editionを修正するにはどうすればよいですか？

Magento Community Editionをバージョン2.4.4以降にアップデートしてください。WAFの導入や入力値の検証強化も有効な対策です。

CVE-2024-20719は積極的に悪用されていますか？

現時点では具体的な攻撃事例は確認されていませんが、XSS脆弱性は一般的に悪用されやすい脆弱性であるため、注意が必要です。

CVE-2024-20719に関するMagentoの公式アドバイザリはどこで入手できますか？

Magentoのセキュリティアドバイザリページで確認できます。https://magento.com/security