プラットフォーム
php
コンポーネント
codeigniter
修正版
3.4.4
CVE-2026-39380 describes a Stored Cross-Site Scripting (XSS) vulnerability within the Open Source Point of Sale application, a PHP-based point-of-sale system built on the CodeIgniter framework. This vulnerability allows attackers to inject malicious JavaScript code, which is then stored in the database and executed when the Employees interface is rendered. The vulnerability impacts versions 1.0.0 through 3.4.2, and a fix is available in version 3.4.3.
Open Source Point of Sale (POS) の CVE-2026-39380 は、このアプリケーションを使用している POS システムにとって重大なセキュリティリスクをもたらします。これは、Stored Cross-Site Scripting (XSS) の脆弱性であり、攻撃者が stock_location パラメータを介して在庫場所の設定機能でデータベースに悪意のある JavaScript コードを挿入できることを意味します。このコードはその後、従業員インターフェースが表示されるときに保存され、実行されます。潜在的な影響には、従業員の認証情報の窃盗、機密データの操作、ユーザーを悪意のある Web サイトにリダイレクトすること、従業員を装ってアクションを実行することなどが含まれ、ビジネスおよび顧客情報の機密性と整合性が損なわれます。CVSS スコアは 5.4 で、中程度から高いリスクを示しています。
攻撃者は、新しい在庫場所の設定中または既存の場所の変更中に stock_location フィールドに悪意のある JavaScript コードを挿入することで、この脆弱性を悪用する可能性があります。このコードはデータベースに保存され、従業員が従業員インターフェースにアクセスするたびに実行されます。たとえば、在庫場所のリストを照会する場合です。JavaScript コードの実行により、攻撃者はセッション Cookie を盗んだり、従業員をフィッシング Web サイトにリダイレクトしたり、従業員のブラウザで任意のコードを実行したりして、システムセキュリティを損なう可能性があります。
Organizations using Open Source Point of Sale for their point-of-sale operations, particularly those running versions 1.0.0 through 3.4.2, are at risk. Shared hosting environments where multiple customers share the same server and database are especially vulnerable, as an attacker could potentially exploit the vulnerability through another customer's account.
• php: Examine the database for suspicious JavaScript code stored in the stock_location field. Use a database query to search for <script or javascript: patterns.
SELECT * FROM your_table_name WHERE stock_location LIKE '%<script%'• generic web: Monitor access logs for requests containing unusual or obfuscated JavaScript code in the stock_location parameter. Look for POST requests to the stock location configuration endpoint.
grep 'stock_location=[^&]*<script[^>]*>' /var/log/apache2/access.log• generic web: Check response headers for signs of XSS, such as the presence of unexpected JavaScript code in the HTML content.
disclosure
エクスプロイト状況
EPSS
0.03% (8% パーセンタイル)
CISA SSVC
CVSS ベクトル
CVE-2026-39380 を軽減するための解決策は、Open Source Point of Sale をバージョン 3.4.3 以降に更新することです。このバージョンには、stock_location パラメータ内のユーザー入力を適切にサニタイズする修正が含まれており、悪意のある JavaScript コードの挿入を防ぎます。更新に加えて、サーバー側の入力検証、実行できるスクリプトのソースを制限するための Content Security Policy (CSP) の使用、ソーシャルエンジニアリング攻撃を回避するための従業員のセキュリティベストプラクティスに関するトレーニングなど、堅牢なセキュリティプラクティスを実装することをお勧めします。定期的なセキュリティ監査は、他の潜在的な脆弱性を特定し、対処するのに役立ちます。
Actualice a la versión 3.4.3 o superior para mitigar la vulnerabilidad de XSS. La actualización corrige la falta de sanitización de la entrada del usuario en el parámetro 'stock_location', previniendo la inyección de código JavaScript malicioso.
脆弱性分析と重要アラートをメールでお届けします。
Stored XSS は、攻撃者がデータベースに悪意のあるコードを挿入し、その後他のユーザーに提供される場合に発生します。コードがユーザーのコンテキストで実行されるため、特に危険です。
Open Source Point of Sale の 3.4.3 より前のバージョンを使用している場合は、脆弱である可能性があります。侵入テストを実行するか、セキュリティ専門家に相談して確認してください。
すべてのユーザーのパスワードをすぐに変更し、システムログで疑わしいアクティビティを確認し、クリーンなバックアップから復元することを検討してください。
自動化および手動の両方で、XSS を検出できるさまざまな脆弱性スキャンツールがあります。人気のあるツールには、OWASP ZAP と Burp Suite が含まれます。
CSP は、開発者がブラウザがロードできるリソースを制御できるようにする追加のセキュリティレイヤーであり、XSS 攻撃のリスクを軽減します。