概要
セキュリティ研究者が、Microsoft、Volvo、BMWなどの大企業も利用する人気のオープンソースeコマースプラットフォームnopCommerceに深刻な脆弱性(CVE-2025-11699)を発見しました。この欠陥を悪用すると、正規のユーザーがログアウトした後でも、攻撃者がキャプチャしたセッションクッキーを利用してユーザーアカウントを乗っ取ることが可能になります。
脆弱性の詳細 – CVE-2025-11699
追跡番号CVE-2025-11699で特定されたこの脆弱性は、nopCommerceのログインシステムにおけるセッションクッキーの無効化処理の不備に起因します。ユーザーがログアウトしてもプラットフォームがセッションクッキーを正しく無効化しないため、悪用の余地が残されます。
- CVE ID: CVE-2025-11699
- 脆弱性名: 不十分なセッションクッキーの無効化
- プラットフォーム: nopCommerce (ASP.NET Core)
- 深刻度: 高
攻撃者が有効なセッションクッキーを入手した場合、元のユーザーがログアウトしてから長時間が経過していても、そのクッキーを使用して管理者エンドポイントを含む制限された領域にアクセスできます。クッキーの盗難は、クロスサイトスクリプティング(XSS)攻撃、ネットワーク傍受、またはユーザーデバイスの侵害などを通じて行われるのが一般的です。
Carnegie Mellon Universityによると、この脆弱性はnopCommerceバージョン4.70以前、および4.80.3に影響を及ぼします。これは、2019年に同様の脆弱性(CVE-2019-7215)が存在していたことと酷似しており、プラットフォームの認証メカニズムにおけるセキュリティ改善が不十分であった可能性が指摘されています。
企業への影響と推奨される対策
セッションハイジャックの脆弱性は、様々な目的でサイバー犯罪者に悪用されます。盗まれたセッションデータは、ランサムウェア攻撃の開始、暗号通貨の盗難、不正な金融取引などに利用されてきました。nopCommerceを利用する企業にとって、管理者セッションが一度でも侵害されれば、攻撃者はeコマースプラットフォームを完全に制御し、顧客データの窃盗、取引の操作、マルウェアの展開を行う可能性があります。
nopCommerce開発チームは、この脆弱性に対処するパッチをリリース済みです。バージョン4.70以降(バージョン4.80.3を除く)のユーザーは保護されています。しかし、バージョン4.80.3以前のユーザーは、直ちにバージョン4.90.3または利用可能な最新リリースにアップデートする必要があります。システム管理者は、顧客データと財務資産への直接的な脅威となるため、このアップデートを最優先で実施することが強く求められます。アップデート後には、以前の悪用を示す可能性のある不審なアカウント活動がないか、セキュリティ監査を実施することも重要です。
eコマースプラットフォームセキュリティにおける教訓
この発見は、eコマースプラットフォームのセキュリティにおける継続的な課題を浮き彫りにしています。2019年に同様の脆弱性があったという事実は、開発者や企業がセッション管理のベストプラクティスに適切に対処できていない可能性を示唆しています。ログアウト時の適切なクッキー無効化は、すべての認証システムにおいて実装されるべき基本的なセキュリティ要件です。