公開日:2025/12/03 最終更新日:2025/12/03

JVNVU#99686415
nopCommerceにセッションCookieが無効化されない脆弱性

概要

nopCommerceにはセッションCookieが無効化されない脆弱性が存在します。

影響を受けるシステム

  • nopCommerce v4.70より前のすべてのバージョン
  • nopCommerce v4.80.3

詳細情報

nopCommerceはASP.NET Coreをベースとするeコマースプラットフォームです。nopCommerceにはログアウトまたはセッション終了後にセッションCookieが無効化されない脆弱性があります。(CVE-2025-11699、CWE-613)

想定される影響

攻撃者が有効なセッションCookieを取得した場合、正当なユーザーがログアウトした後でも、Cookieを再利用して特権的なエンドポイント(/adminなど)へのアクセスを継続し、セッションハイジャックや権限昇格を行う可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。

ベンダ情報

ベンダ リンク
nopCommerce .Nop.Authentication security issue #7044
Release notes

参考情報

  1. CERT/CC Vulnerability Note VU#633103
    Insufficient Session Cookie Invalidation in nopCommerce ASP.NET Core eCommerce Platform
  2. Full Disclosure
    Insufficient Session Cookie Invalidation in nopCommerce v4.10 and 4.80.3

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia