無料スキャン
CRITICALCVE-2026-45714CVSS 9.1

CVE-2026-45714: RCE in CubeCart v6

プラットフォーム

php

コンポーネント

cubecart-v6

修正版

6.7.0

NVDで見る
保存

CubeCart v6は、eコマースソフトウェアソリューションです。CVE-2026-45714は、認証済みサーバーサイドテンプレートインジェクション(SSTI)の脆弱性であり、バージョン6.0.0から6.6.9までのCubeCartに影響を与えます。この脆弱性により、攻撃者はサーバー上で任意のオペレーティングシステムコマンドを実行できるようになります。バージョン6.7.0でこの問題は修正されています。

影響と攻撃シナリオ

このRCE脆弱性は、認証された管理者権限を持つ攻撃者にとって非常に危険です。攻撃者は、CubeCartのメールテンプレート、請求書、ドキュメント、連絡フォームなどのモジュールを悪用し、サーバー上で任意のコードを実行できます。これにより、機密データの窃取、システムファイルの改ざん、さらにはサーバー全体の制御奪取といった深刻な被害が発生する可能性があります。この脆弱性の悪用は、Webサーバーの完全な侵害につながる可能性があり、ビジネスへの影響は甚大です。類似のSSTI脆弱性は、他のテンプレートエンジンでも問題を引き起こすことが知られています。

悪用の状況

この脆弱性は、2026年5月13日に公開されました。現時点では、KEV(Kernel Exploitability Vulnerability)への登録状況は不明です。EPSS(Exploit Prediction Scoring System)スコアは、脆弱性の悪用可能性を評価するために使用されますが、現時点では評価されていません。公開されているPoC(Proof of Concept)コードは確認されていませんが、SSTI脆弱性は一般的に悪用が容易であるため、今後の悪用事例の発生に注意が必要です。

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
インターネット露出
レポート3 件の脅威レポート

CVSS ベクトル

脅威インテリジェンス· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H9.1CRITICALAttack VectorNetwork攻撃者がターゲットに到達する方法Attack ComplexityLow悪用に必要な条件Privileges RequiredHigh攻撃に必要な認証レベルUser InteractionNone被害者の操作が必要かどうかScopeChanged影響コンポーネント外への波及ConfidentialityHigh機密データ漏洩のリスクIntegrityHigh不正データ改ざんのリスクAvailabilityHighサービス障害のリスクnextguardhq.com · CVSS v3.1 基本スコア
これらのメトリクスの意味は?
Attack Vector
ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
Attack Complexity
低 — 特別な条件不要。安定して悪用可能。
Privileges Required
高 — 管理者または特権アカウントが必要。
User Interaction
なし — 自動かつ無音の攻撃。被害者は何もしない。
Scope
変化あり — 攻撃が脆弱なコンポーネントを超えて他のシステムに波及可能。
Confidentiality
高 — 機密性の完全喪失。全データが読み取り可能。
Integrity
高 — 任意のデータの書き込み・変更・削除が可能。
Availability
高 — 完全なクラッシュまたはリソース枯渇。完全なサービス拒否。

影響を受けるソフトウェア

コンポーネントcubecart-v6
ベンダーcubecart
最小バージョン6.0.0
最大バージョン< 6.7.0
修正版6.7.0

弱点分類 (CWE)

CWE-94CWE-1336

タイムライン

  1. 予約済み
  2. 公開日

緩和策と回避策

CubeCart v6のバージョン6.7.0へのアップデートが推奨される最良の対応策です。アップデートがすぐに利用できない場合、認証されたユーザーのアクセスを制限し、特にメールテンプレート、請求書、ドキュメント、連絡フォームへのアクセスを厳しく制限することで、攻撃対象領域を縮小できます。WAF(Web Application Firewall)を導入し、SSTI攻撃を検知・防御するルールを設定することも有効です。また、Smartyテンプレートエンジンのセキュリティポリシーを有効にすることで、脆弱性の影響を軽減できます。アップデート後、システムログを確認し、不正なコマンド実行の兆候がないか確認してください。

修正方法翻訳中…

Actualice CubeCart a la versión 6.7.0 o superior para mitigar la vulnerabilidad de inyección de plantillas del lado del servidor (SSTI). Esta actualización corrige la forma en que se evalúan las plantillas Smarty, evitando la ejecución de comandos arbitrarios en el sistema.

よくある質問

CVE-2026-45714 — RCE in CubeCart v6とは何ですか?

CVE-2026-45714は、CubeCart v6のメールテンプレート、請求書、ドキュメント、連絡フォームなどのモジュールに存在する認証済みサーバーサイドテンプレートインジェクション(SSTI)の脆弱性です。攻撃者はこの脆弱性を悪用して、サーバー上で任意のコードを実行できます。

CVE-2026-45714 in CubeCart v6の影響はありますか?

はい、CubeCart v6のバージョン6.0.0から6.6.9を使用している場合は影響を受けます。この脆弱性は、攻撃者がサーバー上で任意のコードを実行できるため、非常に危険です。

CVE-2026-45714 in CubeCart v6を修正するにはどうすればよいですか?

CubeCart v6をバージョン6.7.0にアップデートしてください。アップデートがすぐに利用できない場合は、アクセス制限やWAFの導入などの緩和策を講じることを推奨します。

CVE-2026-45714は積極的に悪用されていますか?

現時点では、CVE-2026-45714を悪用した事例は確認されていませんが、SSTI脆弱性は一般的に悪用が容易であるため、今後の悪用事例の発生に注意が必要です。

CVE-2026-45714に関するCubeCartの公式アドバイザリはどこで入手できますか?

CubeCartの公式アドバイザリは、CubeCartのウェブサイトまたはセキュリティ関連のニュースサイトで確認できます。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索
scanZone.liveBadgescanZone.eyebrow

今すぐ試す — アカウント不要

Upload any manifest (composer.lock, package-lock.json, WordPress plugin list…) or paste your component list. You get a vulnerability report instantly. Uploading a file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.

手動スキャンSlack/メールアラートContinuous monitoringホワイトラベルレポート

依存関係ファイルをドラッグ&ドロップ

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...