JVNDB-2026-011143

opensourceposのopen source point of saleにおけるクロスサイトスクリプティングの脆弱性

Open Source Point of Saleは、CodeIgniterフレームワークを使用してPHPで書かれたウェブベースの販売時点情報管理アプリケーションです。バージョン3.4.3以前には、日次売上管理テーブルにストアドクロスサイトスクリプティング（XSS）の脆弱性が存在していました。customer_name列はbootstrap-tableの列設定でescape: falseに設定されており、顧客名が生のHTMLとしてレンダリングされます。顧客管理権限を持つ攻撃者は、顧客のfirst_nameまたはlast_nameフィールドに任意のJavaScriptを注入でき、これにより日次売上ページを閲覧する任意のユーザーのブラウザ上でスクリプトが実行されます。この脆弱性は3.4.3で修正されています。

opensourcepos

• open source point of sale 3.4.3 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。
さらに、当該ソフトウェアは停止しません。
そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : Stored XSS in Customer Name (Sales)  Advisory  opensourcepos/opensourcepos  GitHub

1. クロスサイトスクリプティング(CWE-79) [その他]

1. CVE-2026-32712

1. National Vulnerability Database (NVD) : CVE-2026-32712

• [2026年04月16日]
    掲載