SpreeはRuby on Railsで構築されたオープンソースのeコマースソリューションです。バージョン5.0.8、5.1.10、5.2.7、5.3.2より前のバージョンには、認証されていないユーザーが注文IDを使用して完了したゲスト注文を閲覧できる問題がありました。この問題により、ゲストユーザーの氏名、住所、電話番号などの個人識別情報(PII)が漏洩する可能性がありました。この問題はバージョン5.0.8、5.1.10、5.2.7、および5.3.2で修正されています。
Spree Commerce Spree 5.0.8 未満 Spree 5.1.0 以上 5.1.10 未満 Spree 5.2.0 以上 5.2.7 未満 Spree 5.3.0 以上 5.3.2 未満
本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。
当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報について、書き換えは発生しません。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
GitHub GitHub Advisory Database : Unauthenticated users can view completed guest orders by Order ID Advisory spree/spree GitHub
ユーザ制御の鍵による認証回避(CWE-639) [その他]
CVE-2026-25757
National Vulnerability Database (NVD) : CVE-2026-25757 関連文書 : spree/storefront/app/controllers/spree/orders_controller.rb at 1341623f2ae92685cdbe232885bf5808fc8f9ca8 spree/spree GitHub (https://github.com/spree/spree/blob/1341623f2ae92685cdbe232885bf5808fc8f9ca8/storefront/app/controllers/spree/orders_controller.r 関連文書 : Merge commit from fork spree/spree@6b32ed7 GitHub 関連文書 : spree/core/lib/spree/core/number_generator.rb at a878eb4a782ce0445d218ea86fb12075b0e3d7cc spree/spree GitHub 関連文書 : Merge commit from fork spree/spree@3e00be6 GitHub 関連文書 : spree/storefront/app/controllers/spree/orders_controller.rb at 1341623f2ae92685cdbe232885bf5808fc8f9ca8 spree/spree GitHub (https://github.com/spree/spree/blob/1341623f2ae92685cdbe232885bf5808fc8f9ca8/storefront/app/controllers/spree/orders_controller.r 関連文書 : Merge commit from fork spree/spree@6f6b8a7 GitHub 関連文書 : Merge commit from fork spree/spree@ea4a5db GitHub
[2026年02月25日] 掲載
