Apostrophe TechnologiesのApostropheCMSにおけるクロスサイトスクリプティングの脆弱性
| Title |
Apostrophe TechnologiesのApostropheCMSにおけるクロスサイトスクリプティングの脆弱性
|
| Summary |
ApostropheCMSはオープンソースのNode.jsコンテンツ管理システムです。バージョン4.28.0以前には@apostrophecms/color-fieldモジュールに保存型クロスサイトスクリプティングの脆弱性が存在していました。これは、--で始まるカラー値がCSSカスタムプロパティ用に意図されたTinyColorの検証を回避し、launder.string()呼び出しがHTMLのメタ文字を除去せず型の強制変換のみを行うためです。これらの未検証の値は、すべての訪問者にレンダリングされるウィジェット単位のスタイル要素および編集者にレンダリングされるグローバルスタイルシートのstyleタグに直接連結され、出力は安全なHTMLとしてマークされます。編集者は値を注入してstyleタグを閉じ、影響を受けるウィジェットを含む任意のページのすべての訪問者のブラウザで任意のJavaScriptを実行できます。これにより、大量のセッションハイジャックやクッキーの窃取、管理者がドラフトコンテンツを閲覧した場合の管理権限の権限昇格が可能となります。この問題はバージョン4.29.0で修正されました。
|
| Possible impacts |
当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。 |
| Solution |
正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
April 15, 2026, midnight |
| Registration Date |
April 21, 2026, 10:48 a.m. |
| Last Update |
April 21, 2026, 10:48 a.m. |
|
CVSS3.0 : 警告
|
| Score |
5.4
|
| Vector |
CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Affected System
| Apostrophe Technologies |
|
ApostropheCMS 4.29.0 未満
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年04月21日]
掲載 |
April 21, 2026, 10:48 a.m. |
NVD Vulnerability Information
CVE-2026-33889
| Summary |
ApostropheCMS is an open-source Node.js content management system. Versions 4.28.0 and prior contain a stored cross-site scripting vulnerability in the @apostrophecms/color-field module, where color values prefixed with -- bypass TinyColor validation intended for CSS custom properties, and the launder.string() call performs only type coercion without stripping HTML metacharacters. These unsanitized values are then concatenated directly into <style> tags both in per-widget style elements rendered for all visitors and in the global stylesheet rendered for editors, with the output marked as safe HTML. An editor can inject a value which closes the style tag and executes arbitrary JavaScript in the browser of every visitor to any page containing the affected widget. This enables mass session hijacking, cookie theft, and privilege escalation to administrative control if an admin views draft content. This issue has been fixed in version 4.29.0.
|
| Publication Date |
April 16, 2026, 5:16 a.m. |
| Registration Date |
April 17, 2026, 4:11 a.m. |
| Last Update |
April 21, 2026, 2:03 a.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:apostrophecms:apostrophecms:*:*:*:*:*:*:*:* |
|
|
|
4.29.0 |
Related information, measures and tools
Common Vulnerabilities List