MaxKBにおけるクロスサイトスクリプティングの脆弱性
| Title |
MaxKBにおけるクロスサイトスクリプティングの脆弱性
|
| Summary |
MaxKBは企業向けのオープンソースAIアシスタントです。バージョン2.7.1以下には、フロントエンドのMdRenderer.vueコンポーネントがLLMの応答やアプリケーションプロローグ設定からカスタムのiframe_renderタグを解析し、標準のMarkdownサニタイズおよびXSSフィルタリングを回避するストアドクロスサイトスクリプティング(XSS)の脆弱性が含まれていました。未サニタイズのHTMLコンテンツがIframeRender.vueコンポーネントに渡され、sandbox="allow-scripts allow-same-origin"の設定がされたsrcdoc属性を使って直接iframe内にレンダリングされます。これは危険な組み合わせであり、注入されたスクリプトがiframeを脱出してwindow.parentを使い、親ウィンドウでJavaScriptを実行できる可能性があります。プロローグはアプリケーションのチャットインターフェースを訪れるすべてのユーザーに対してレンダリングされるため、これによりセッションハイジャック、不正な操作、機密データの漏洩が引き起こされる高インパクトなストアドXSSが発生しました。この問題はバージョン2.8.0で修正されました。
|
| Possible impacts |
当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。 |
| Solution |
正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
April 14, 2026, midnight |
| Registration Date |
April 21, 2026, 10:45 a.m. |
| Last Update |
April 21, 2026, 10:45 a.m. |
|
CVSS3.0 : 警告
|
| Score |
5.4
|
| Vector |
CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Affected System
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年04月21日]
掲載 |
April 21, 2026, 10:45 a.m. |
NVD Vulnerability Information
CVE-2026-39426
| Summary |
MaxKB is an open-source AI assistant for enterprise. Versions 2.7.1 and below contain a Stored Cross-Site Scripting (XSS) vulnerability where the frontend's MdRenderer.vue component parses custom <iframe_render> tags from LLM responses or Application Prologue configurations, bypassing standard Markdown sanitization and XSS filtering. The unsanitized HTML content is passed to the IframeRender.vue component, which renders it directly into an <iframe> via the srcdoc attribute configured with sandbox="allow-scripts allow-same-origin". This can be a dangerous combination, allowing injected scripts to escape the iframe and execute JavaScript in the parent window using window.parent. Since the Prologue is rendered for any user visiting an application's chat interface, this results in a high-impact Stored XSS that can lead to session hijacking, unauthorized actions, and sensitive data exposure. This issue has been fixed in version 2.8.0.
|
| Publication Date |
April 14, 2026, 11:16 a.m. |
| Registration Date |
April 15, 2026, 11:39 a.m. |
| Last Update |
April 21, 2026, 2:31 a.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:maxkb:maxkb:*:*:*:*:-:*:*:* |
|
|
|
2.8.0 |
Related information, measures and tools
Common Vulnerabilities List