CartManで任意価格設定の欠陥 | ScanNetSecurity
2026.04.16(木)

CartManで任意価格設定の欠陥

 アイ・ディフェンス・ジャパンからの情報によると、Per Magne KnutsenのCartmanショッピングソフトウェアは、価格のリモート操作が可能であるため、攻撃者が任意の価格でアイテムを購入することができる。CartManは、カートにアイテムを追加する際に、「cartman.php?a

国際 海外情報
13 views
facebookLINE
 アイ・ディフェンス・ジャパンからの情報によると、Per Magne KnutsenのCartmanショッピングソフトウェアは、価格のリモート操作が可能であるため、攻撃者が任意の価格でアイテムを購入することができる。CartManは、カートにアイテムを追加する際に、「cartman.php?action=add&id=1234&descr=My%20Product&price=250&quantity=1」というサンプルURLを使用する。攻撃者は、このような要求を手動操作で簡単に生成し、価格パラメーター (上記URLでは(price=250) を任意の数に設定することができる。以下の書き換えられたURLは、定価250ドルの "My Product" アイテムを、価格1ドルのアイテムとして攻撃者のカートに追加する。


※この情報はアイ・ディフェンス・ジャパン
 ( http://www.idefense.co.jp/ )より提供いただいております。
 アイディフェンス社の iAlert サービスについて
 http://shop.vagabond.co.jp/p-alt01.shtml
 情報の内容は以下の時点におけるものです
 【10:50 GMT、11、25、2002】

《ScanNetSecurity》

PageTop

アクセスランキング

  1. 「すでに感染してしまった」最悪のシナリオで訓練実施 ~ LINEヤフーのランサムウェア対応訓練

    「すでに感染してしまった」最悪のシナリオで訓練実施 ~ LINEヤフーのランサムウェア対応訓練

  2. 佐藤工業の作業所の NAS に不正アクセス、本人情報と緊急連絡先が閲覧された可能性

    佐藤工業の作業所の NAS に不正アクセス、本人情報と緊急連絡先が閲覧された可能性

  3. 不正アクセスの被害原因は「ID、パスワード管理の不備」が最多に ~ 2025年「コンピュータウイルス・不正アクセスの届出状況」

    不正アクセスの被害原因は「ID、パスワード管理の不備」が最多に ~ 2025年「コンピュータウイルス・不正アクセスの届出状況」

  4. ホームページ内の個人情報非表示の Excel ファイルは検索エンジンの検索結果から閲覧可能

    ホームページ内の個人情報非表示の Excel ファイルは検索エンジンの検索結果から閲覧可能

  5. テインへのランサムウェア攻撃、サーバ上に犯行声明文ファイルを確認

    テインへのランサムウェア攻撃、サーバ上に犯行声明文ファイルを確認

ランキングをもっと見る
PageTop
ホーム 国際 海外情報 記事
TOP