MEDIUMCVE-2026-39851

Saleor には、異なるエラーメッセージが原因でユーザー列挙の脆弱性があります

Q: Saleor の CVE-2026-39851 による影響を受けていますか？

Saleor の公式ドキュメントに記載されているアップグレード手順に従ってください。アップグレードする前にデータベースのバックアップを作成してください。

Q: Saleor の CVE-2026-39851 を修正するにはどうすればよいですか？

エラーメッセージにメールアドレスがログに記録されないように、ログフィルタリングを実装できます。

Q: CVE-2026-39851 は積極的に悪用されていますか？

この脆弱性は中程度とみなされ、攻撃者が脆弱性を悪用するために特定のメールアドレスを知っているか推測している必要があります。

Q: CVE-2026-39851 に関する Saleor の公式アドバイザリはどこで確認できますか？

CVE 脆弱性データベースで、この脆弱性に関する詳細情報を入手できます: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-39851

プラットフォーム

nodejs

コンポーネント

saleor

修正版

2.10.1

3.21.1

3.22.1

3.23.1

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年4月

NVDで見る

保存

あなたの言語に翻訳中…

CVE-2026-39851 affects the Saleor e-commerce platform, specifically exposing user-provided email addresses in error messages through the requestEmailChange() mutation. This information disclosure vulnerability could potentially be exploited to gather user data. The vulnerability impacts versions 2.10.0 through 3.23.0a3, including specific versions like 3.22.47, 3.21.54, and 3.20.118. A fix has been released in versions 3.23.0a3, 3.22.47, 3.21.54, and 3.20.118.

影響と攻撃シナリオ

CVE-2026-39851 は、Saleor eコマースプラットフォームに影響を与えます。バージョン 2.10.0 から 3.23.0a3、3.22.47、3.21.54、および 3.20.118 以前のバージョンでは、requestEmailChange() ミューテーションがエラーメッセージ内でユーザーが提供したメールアドレスの存在を明らかにしました。これにより、攻撃者はユーザーアカウントに関連付けられているメールアドレスの有無を確認できる可能性があり、ブルートフォース攻撃やソーシャルエンジニアリングに使用される可能性があります。アカウントへの直接アクセスは許可されませんが、メールアドレスの存在を確認することは、標的型攻撃における重要な一歩です。この脆弱性の重大度は中程度であり、攻撃者が脆弱性を悪用するために特定のメールアドレスを知っているか推測している必要があります。

悪用の状況

攻撃者は、ユーザーが所有していると思われるメールアドレスで requestEmailChange() リクエストを送信することで、この脆弱性を悪用する可能性があります。リクエストが失敗した場合、エラーメッセージがシステムにメールアドレスが存在することを示唆する可能性があります。このプロセスを異なるメールアドレスで繰り返して、有効なアドレスのリストを作成できます。取得した情報は、標的型フィッシング攻撃に使用したり、特定の口座のパスワードをリセットしようとしたりする可能性があります。この脆弱性の悪用は容易であり、高度な技術スキルは必要ありませんが、Saleor API へのアクセスが必要です。

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

レポート1 脅威レポート

EPSS

0.06% (17% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

影響を受けるソフトウェア

コンポーネントsaleor

ベンダーsaleor

影響範囲修正版

>= 2.10.0, < 3.20.118 – >= 2.10.0, < 3.20.1182.10.1

>= 3.21.0-a.0, < 3.21.54 – >= 3.21.0-a.0, < 3.21.543.21.1

>= 3.22.0-a.0, < 3.22.47 – >= 3.22.0-a.0, < 3.22.473.22.1

>= 3.23.0-a.0, < 3.23.0a3 – >= 3.23.0-a.0, < 3.23.0a33.23.1

弱点分類 (CWE)

CWE-204

タイムライン

予約済み2026-04-07
公開日2026-04-08
EPSS 更新日2026-04-16

緩和策と回避策

この脆弱性を軽減するには、Saleor をバージョン 3.23.0a3、3.22.47、3.21.54、または 3.20.118 にアップデートすることを強くお勧めします。これらのバージョンには、エラーメッセージ内でメールアドレスが公開されるのを防ぐ修正が含まれています。その間、一時的な措置として、エラーメッセージにメールアドレスがログに記録されないようにログフィルタリングを実装できます。Saleor プラットフォームの構成を慎重に確認し、機密情報の公開を容易にする可能性のある他の設定がないことを確認することが重要です。プラットフォームのセキュリティを維持するための基本的なプラクティスとして、定期的なセキュリティパッチの適用が不可欠です。

修正方法翻訳中…

Actualice Saleor a la versión 3.23.0a3, 3.22.47, 3.21.54 o 3.20.118 para mitigar la vulnerabilidad de enumeración de usuarios. Esta actualización corrige la exposición de direcciones de correo electrónico proporcionadas por el usuario en los mensajes de error.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-39851 とは何ですか？（Saleor）

バージョン 2.10.0 から 3.23.0a3、3.22.47、3.21.54、および 3.20.118 以前のバージョンの Saleor は、この脆弱性に対して脆弱です。

Saleor の CVE-2026-39851 による影響を受けていますか？