つみかさね

CVE-2026-25858

Critical(9.1)

CVE-2026-25858 — macrozheng mall OTP応答漏洩によるパスワードリセット

公開日: 2026-04-08データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
mallmacrozheng1.0.3 以前

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1mallのバージョンを確認する
  2. 2最新バージョンへアップデートする
  3. 3OTPがAPIレスポンスに含まれていないか確認する

影響対象

macrozheng mall利用者

補足

  • -アカウント乗っ取りにつながるため早急な対応を推奨
CVEmacrozheng mall認証パスワードリセット

概要

macrozheng mall の v1.0.3 以前 の mall-portal に おける パスワードリセット 機能 に 脆弱性 が 存在 します。API レスポンス に OTP(ワンタイムパスワード)が 直接 露出 する ため、被害者 の 電話番号 を 知っている(または 推測 できる)攻撃者 が 任意 の ユーザー の パスワード を リセット し、アカウント を 乗っ取る こと が 可能 です。

CVSS ベクトル

項目
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な特権レベル不要
ユーザー関与不要
CWECWE-640(パスワード忘れ時の脆弱なリカバリ)

影響を受けるソフトウェア

製品ベンダー影響バージョン
mallmacrozheng1.0.3 以前

修正バージョンと回避策

  • 最新バージョン へ の アップデート を 確認 してください
  • OTP を API レスポンス に 含めない よう 実装 を 修正 してください

関連リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-25858
VulnCheck:https://www.vulncheck.com/advisories/macrozheng-mall-unauthenticated-password-reset-via-otp-disclosure
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。