X-Cartにクロスサイトスクリプティングとユーザコントロールキーによる認証バイパスの脆弱性が確認された。影響を受けるシステムは脆弱性によって異なり、クロスサイトスクリプティングはX-Cart versions 5.1.6から5.1.10、認証バイパスはX-Cart versions 5.1.10とそれ以前に含まれる。これらの脆弱性が悪用されると、攻撃者にadmin.php内のクエリ文字列パラメータ経由で任意のスクリプトを挿入されたり、リクエストのパラメータの改ざんによりデータが不正取得されたり削除される恐れがある。解決策としてX-Cart 5.1.11が公開されており、アップデートによりこの脆弱性は解消される。
