LOWCVE-2026-5834CVSS 2.4

code-projects Online Shoe Store admin_running.php クロスサイトスクリプティング

Q: CVE-2026-5834 — XSS in Online Shoe Store 1.0とは何ですか？

CVE-2026-5834は、Online Shoe Store 1.0の/admin/admin_running.phpにおけるクロスサイトスクリプティング(XSS)の脆弱性です。product_name引数の操作により攻撃が可能で、リモートからの攻撃が可能です。

プラットフォーム

php

コンポーネント

online-shoe-store

修正版

1.0.1

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

Online Shoe Store 1.0において、/admin/admin_running.phpファイル内の未知の関数においてクロスサイトスクリプティング(XSS)の脆弱性が確認されました。この脆弱性を悪用されると、攻撃者は悪意のあるスクリプトをWebサイトに注入し、ユーザーのブラウザ上で実行させることが可能になります。影響を受けるバージョンは1.0.0から1.0です。2026年4月9日に公開されており、パッチは未提供です。

影響と攻撃シナリオ

このXSS脆弱性は、攻撃者がユーザーのブラウザ上で任意のJavaScriptコードを実行できることを意味します。これにより、攻撃者はユーザーのセッションCookieを盗み、ユーザーになりすまして機密情報にアクセスしたり、悪意のあるリダイレクトを実行したり、Webサイトの表示を改ざんしたりすることが可能です。特に管理者権限を持つユーザーが攻撃を受けると、システム全体への影響が拡大する可能性があります。類似のXSS脆弱性は、Webサイトの信頼性を損ない、ユーザーの個人情報漏洩や不正な操作につながる可能性があります。

悪用の状況

この脆弱性は既に公開されており、悪用される可能性があります。KEVへの登録状況は不明です。EPSSスコアは現時点では評価されていません。公開されているPoCが存在するため、攻撃者による悪用リスクは高いと考えられます。NVDおよびCISAによる情報公開は、2026年4月9日に確認されています。

リスク対象者翻訳中…

Administrators of Online Shoe Store installations, particularly those running versions 1.0.0 through 1.0, are at significant risk. Shared hosting environments where multiple users share the same server instance are also vulnerable, as a compromised user could potentially exploit this vulnerability to affect other users on the same server.

検出手順翻訳中…

• php / web:

grep -r "product_name = $_GET['product_name']" /var/www/html/admin/admin_running.php

• generic web:

curl -I https://your-online-shoe-store.com/admin/admin_running.php?product_name=<script>alert('XSS')</script>

攻撃タイムライン

2026-04-09Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.03% (9% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントonline-shoe-store

ベンダーcode-projects

影響範囲修正版

1.0 – 1.01.0.1

弱点分類 (CWE)

CWE-79 CWE-94

タイムライン

予約済み2026-04-08
公開日2026-04-09
EPSS 更新日2026-04-16

未パッチ — 公開から45日経過

緩和策と回避策

公式なパッチが提供されていないため、一時的な緩和策として、入力値の検証とエスケープを厳密に行う必要があります。Webアプリケーションファイアウォール(WAF)を導入し、XSS攻撃を検知・防御するルールを設定することも有効です。また、/admin/admin_running.phpへのアクセスを制限し、管理者権限を持つユーザーのみがアクセスできるように設定することも重要です。脆弱性スキャンツールを使用して、定期的にWebサイトをスキャンし、同様の脆弱性を検出することも推奨されます。

修正方法

Online Shoe Store プラグインを最新バージョンにアップデートしてください。このバージョンでは admin_running.php ファイルのクロスサイトスクリプティング (XSS) 脆弱性が修正されています。アップデート手順についてはプラグインのソースを確認するか、開発者にサポートを依頼してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-5834 — XSS in Online Shoe Store 1.0とは何ですか？

CVE-2026-5834は、Online Shoe Store 1.0の/admin/adminrunning.phpにおけるクロスサイトスクリプティング(XSS)の脆弱性です。productname引数の操作により攻撃が可能で、リモートからの攻撃が可能です。

CVE-2026-5834 in Online Shoe Store 1.0の影響はありますか？

Online Shoe Store 1.0のバージョン1.0.0から1.0を使用している場合、この脆弱性の影響を受ける可能性があります。攻撃者は悪意のあるスクリプトを注入し、ユーザーのブラウザ上で実行させることが可能です。

CVE-2026-5834 in Online Shoe Store 1.0を修正するにはどうすればよいですか？

公式なパッチは提供されていません。一時的な緩和策として、入力値の検証とエスケープを厳密に行う、WAFの導入、アクセス制限などの対策を講じてください。

CVE-2026-5834は積極的に悪用されていますか？

既に公開されており、悪用される可能性が高いため、注意が必要です。

CVE-2026-5834に関するOnline Shoe Storeの公式アドバイザリはどこで入手できますか？

現時点では公式アドバイザリは公開されていません。Online Shoe Storeの公式サイトをご確認ください。