nopCommerce Flaw Lets Attackers Access Accounts Using Captured Cookies
2025/12/02 gbhackers — nopCommerce に存在する深刻な脆弱性 CVE-2025-11699 が、セキュリティ研究者たちにより発見された。nopCommerce は、Microsoft/Volvo/BMW などの大手企業が利用する人気のオープンソース EC プラットフォームである。この脆弱性を悪用する攻撃者は、正当なユーザーがログアウトした後であっても、取得したセッション Cookie を介してユーザー・アカウントを乗っ取ることが可能である。
脆弱性の説明
この脆弱性 CVE-2025-11699 は、nopCommerce のログイン・システムにおけるセッション Cookie の不適切な無効化に起因する。具体的に言うと、このプラットフォームには、ユーザーがログアウトした後に、セッション Cookie を正しく無効化できないという問題がある。したがって、それらの Cookie が悪用される可能性が残る。
| Field | Details |
|---|---|
| CVE ID | CVE-2025-11699 |
| Vulnerability Title | Insufficient Session Cookie Invalidation |
| Platform | nopCommerce (ASP.NET Core) |
| Severity | High |
この脆弱性を悪用して、有効なセッション Cookie を入手した攻撃者は、管理用エンドポイントなどの制限領域にアクセスできるようになる。
Cookie を窃取するセッション・ハイジャックは新しい脅威ではないが、きわめて効果的な攻撃手法として、いまも悪用され続けている。セッション・ハイジャックを試行する攻撃者が、ユーザー端末の侵害に成功すると、クロスサイト・スクリプティング攻撃 (XSS)/ネットワーク傍受などの可能性が生じる。その一方で、不正に取得された Cookie は、アンダーグラウンド・フォーラムで販売される価値の高い商品となる。
Carnegie Mellon University によると、この脆弱性は nopCommerce バージョン 4.70 以前と 4.80.3 に影響を及ぼすという。
ASP.NET Core と MS SQL Server を使用する nopCommerce は、配送 API やコンテンツ配信ネットワークとの統合により、多くの企業にとって重要なインフラとして用いられ、世界中の多数のオンラインストアの基盤として利用されている。
この脆弱性 CVE-2025-11699 が懸念されるのは、以前の脆弱性 CVE-2019-7215 と類似しているからである。過去においても、nopCommerce では同様の問題が露呈しており、認証メカニズムに対するセキュリティ強化が不十分だった可能性が示されている。
悪用のインパクト
セッション・ハイジャックの脆弱性は、さまざまな目的を持つサイバー犯罪者たちに悪用される。なぜなら、盗まれたセッション・データは、ランサムウェア攻撃の実行/暗号資産の窃取/不正な金融取引などで悪用が可能だからだ。
アンダーグラウンド・マーケットで、盗まれたセッション Cookie の取引は活発である。したがって、アクセス認証情報を継続的に購入する犯罪者たちにより、大規模なアカウント侵害が引き起こされている。
nopCommerce を使用している企業において、一度でも管理者セッションが侵害されると、EC プラットフォームの完全な制御が攻撃者に奪われてしまう。それにより、顧客データの窃取や取引の改竄だけではなく、マルウェアの展開なども可能になってしまう。
パッチと推奨される対策
すでに nopCommerce 開発チームは、この脆弱性に対処するパッチを公開しているが、バージョン 4.70 以降 (4.80.3 を除く) を使用するユーザーは、この脆弱性から保護されている。それ以外のバージョンを使用しているユーザーは、バージョン 4.90 以降または、最新のリリースへとアップデートする必要がある。
この脆弱性は、顧客データや金融資産に直接的な脅威をもたらすものである。したがって、システム管理者に強く推奨されるのは、このアップデートを最優先で実施することだ。影響を最小限に抑えるために、可能な限り迅速に、このアップデートを完了させるべきである。
今回の発見が浮き彫りにするのは、EC プラットフォームのセキュリティにおける継続的な課題である。2019 年にも、同様の脆弱性が存在していたという事実は、開発者や企業がセッション管理のベストプラクティスに十分対応できていない可能性を示している。ログアウト時の Cookie の適切な無効化は、あらゆる認証システムで実装すべき基本的なセキュリティ要件である。
nopCommerce を使用している組織は、アップデート後にセキュリティ監査を実施し、過去の悪用を示す不審なアカウント活動の有無を確認する必要がある。
nopCommerce に発見された脆弱性は、ログアウト後もセッション Cookie が無効化されない設計が原因となり、攻撃者にアカウント乗っ取りを許すという問題を引き起こします。残存する Cookie が不正アクセスに使われてしまうため、とてもリスクが高い問題となります。特に EC サイトでは、顧客データや支払い情報が扱われるため、このようなセッション管理の不備が大きな影響につながりやすいと、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、カテゴリー Retail も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.