JVNDB-2026-012819

OpenMageのMagentoにおける危険なタイプのファイルの無制限アップロードに関する脆弱性

Magento Long Term Support (LTS) は、Magento Community Edition eコマースプラットフォームの非公式なコミュニティ主導プロジェクトであり、高い後方互換性を提供しています。バージョン20.17.0以前では、OpenMage LTSの製品カスタムオプションのファイルアップロードにおいて、不完全なブロックリスト（`forbidden_extensions = php,exe`）を使用して危険なファイルアップロードを防止していました。このブロックリストは、`.phtml`、`.phar`、`.php3`、`.php4`、`.php5`、`.php7`、`.pht`などの代替のPHP実行可能拡張子を使用することで簡単に回避されていました。ファイルは公開アクセス可能な`media/custom_options/quote/`ディレクトリに保存されますが、このディレクトリは一部の設定でサーバー側の実行制限がなく、スクリプトの実行が明示的に拒否されていない場合、リモートコード実行が可能となります。この問題はバージョン20.17.0で修正されました。

OpenMage

• Magento 20.17.0 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。
さらに、当該ソフトウェアが完全に停止する可能性があります。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : Customer File Upload Extension Blocklist Bypass → Remote Code Execution  Advisory  OpenMage/magento-lts  GitHub

1. 危険なタイプのファイルの無制限アップロード(CWE-434) [その他]

1. CVE-2026-40488

1. National Vulnerability Database (NVD) : CVE-2026-40488

• [2026年04月27日]
    掲載