つみかさね

CVE-2026-54390

Critical(9.8)

CVE-2026-54390 — JTL Shop Smartyテンプレートインジェクションによる未認証RCE

公開日: 2026-06-23データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
JTL ShopJTL-Software5.2.0 〜 5.7.1

対応ガイド

high|対応必須セキュリティ修正影響: 限定的

推奨アクション

  1. 1JTL Shop のバージョンが 5.2.0〜5.7.1 であるか確認する
  2. 2JTL Shop 5.7.2 以降へアップデートする
  3. 3アップデートが困難な場合は WAF によるテンプレート構文のフィルタリングを適用する
  4. 4ウェブルート内に不審な PHP ファイルが作成されていないか確認する

影響対象

JTL Shop 5.2.0〜5.7.1 を利用する EC サイト運営者

補足

  • -未認証で攻撃可能なため、パブリックに公開された JTL Shop インスタンスは特に優先度を上げて対応してください
CVEJTL ShopSSTIRCESmartyECサイト

概要

ドイツ発のECプラットフォーム JTL Shop のバージョン 5.2.0〜5.7.1 に、サーバーサイドテンプレートインジェクション(SSTI)脆弱性(CVE-2026-54390)が発見されました。CVSSスコアは 9.8(Critical)、未認証での攻撃が可能です。

Smarty テンプレートエンジンへ渡されるユーザー入力がサニタイズされていないため、攻撃者は悪意のあるテンプレート構文を注入できます。特にバージョン 5.4.0〜5.7.1 では、Smarty モディファイア(unserializefile_get_contents 等の登録済み関数)を利用して、ウェブサーバーのドキュメントルートにウェブシェルを書き込み、Webサーバーユーザー権限で任意のコマンドを実行することが可能です。

また、データベース認証情報や暗号化キーなどのサーバーサイドの機密情報の読み取りも可能とされています。

CVSSベクトル

項目
Attack VectorNetwork
Attack ComplexityLow
Privileges RequiredNone(未認証)
User InteractionNone
CWECWE-1336(Improper Neutralization of Special Elements in a Template Engine)

影響を受けるソフトウェア

製品影響バージョン修正バージョン備考
JTL Shop5.2.0〜5.7.15.7.2以降全バージョンでSST読み取り可
JTL Shop5.4.0〜5.7.15.7.2以降このバージョン以降ではRCEも可能

修正バージョンと回避策

推奨対応: JTL Shop 5.7.2 以降へのアップデートを推奨します。

暫定対策:

  • WAF(Web Application Firewall)によるテンプレート構文を含むリクエストのフィルタリング
  • 外部からのアクセスをIPアドレスで制限することも一時的な緩和になります

関連リンク

データソース: NVD (NIST)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-54390
sansec.io:https://sansec.io/research/jtl-shop-ssti-rce
VulnCheck:https://www.vulncheck.com/advisories/jtl-shop-server-side-template-injection-via-smarty-renderer
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。