JVNDB-2026-001685

opensourceposのopen source point of saleにおけるクロスサイトスクリプティングの脆弱性

Open Source Point of Sale (opensourcepos) は、CodeIgniter フレームワークを使用して PHP で書かれたウェブベースの販売時点情報管理アプリケーションです。opensourcepos バージョン 3.4.0 および 3.4.1 には、設定機能に格納型 XSS 脆弱性が存在します。認証済みユーザーで「設定：OSPOS の設定を変更」権限を持つ者は、設定の情報を更新する際に会社名フィールドに悪意のある JavaScript ペイロードを注入できます。この悪意のあるペイロードは保存され、その後ユーザーが /sales/complete にアクセスすると実行されます。具体的には、まず「販売」を選択し、「新しいアイテム」を選んで商品を作成し、その後「完了」をクリックします。入力検証と出力エンコードが不十分なため、ペイロードがレンダリングされてユーザーのブラウザ上で実行され、格納型 XSS 脆弱性が発生します。この脆弱性はバージョン 3.4.2 で修正されています。

opensourcepos

• open source point of sale 3.4.0 以上 3.4.2 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。
さらに、当該ソフトウェアは停止しません。
そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub Advisory Database : Stored XSS in Configuration (Information)   Company Name field   Advisory  opensourcepos/opensourcepos  GitHub

1. クロスサイトスクリプティング(CWE-79) [その他]

1. CVE-2025-68658

1. National Vulnerability Database (NVD) : CVE-2025-68658
2. 関連文書 : Fix multiple XSS vulnerabilities (#3965) (#4356)  opensourcepos/opensourcepos@849439c  GitHub

• [2026年01月23日]
    掲載