Craft Commerce: `commerce/payments/pay`における認証されていない情報漏洩により、匿名支払い時に顧客の注文データの一部が漏洩する可能性があります

Craft CMS Commerce の CVE-2026-32270 は、認証されていないユーザーが機密性の高い注文データにアクセスすることを可能にします。具体的には、電子メールチェックが原因で匿名支払いが失敗した場合、JSON エラー応答にシリアル化された注文オブジェクトが含まれます。このオブジェクトには、顧客の電子メールアドレス、配送先住所、請求先住所などの機密情報が含まれています。攻撃者は、この情報をソーシャルエンジニアリング、フィッシング、または電子商取引ウェブサイトの顧客に関する情報を得るために収集する可能性があります。

1. 予約済み2026-03-11
2. 公開日2026-04-13
3. EPSS 更新日2026-04-21

推奨される解決策は、Craft CMS Commerce をバージョン 5.6.0 以降にアップグレードすることです。このバージョンは、電子メール検証が失敗した場合、エラー応答にシリアル化された注文オブジェクトが含まれないようにすることで、この脆弱性を修正します。その間、一時的な対策として、PaymentsController にカスタムフィルターを実装して、認証されていないユーザーに送信する前に JSON 応答から order オブジェクトを削除できます。アプリケーションのセキュリティポリシーをレビューおよび強化し、入力検証やインジェクション攻撃からの保護を含めることもお勧めします。

最終更新

5.6.5最近