OpenCart 4.1.0.3 路径遍历脆弱性 (VulDB #780814) 脆弱性概要 OpenCart 4.1.0.3 の拡張機能インストーラーには、Zip Slip 脆弱性が存在します。この脆弱性により、攻撃者は特製の ZIP パッケージ(例: )を使用してパス検証を回避できます。インストールプロセス中に、ZIP エントリ名はファイルシステムパスの構築に使用されますが、システムはパストラバーサルシーケンス( や など)を正しく拒否していません。 影響範囲 対象ソフトウェア: OpenCart 4.1.0.3 対象コンポーネント: 拡張機能インストーラー ( ) 脆弱性タイプ: Zip Slip / パストラバーサル (Path Traversal) 潜在的な影響: ディレクトリ外への任意ファイル書き込み (Arbitrary file write)。 ターゲット Web サーバーおよびサーバー設定に応じて、リモートコード実行 (RCE) につながる可能性があります。 認証済み管理者(拡張機能のインストールを行うユーザー)のみが影響を受けます。 修復方法 ページ内には公式パッチは提供されていません。通常、この問題が修正された最新版の OpenCart へのアップグレード、またはサーバー側で のパス検証ロジックを修正し、パストラバーサル文字列を含むファイル名を正しく拒否することが推奨されます。 POC / EXP コード ページには、悪用ファイル(特製 ZIP パッケージ)へのリンクが提供されています。