OctoberCMSのOctoberにおけるクロスサイトスクリプティングの脆弱性
| Title |
OctoberCMSのOctoberにおけるクロスサイトスクリプティングの脆弱性
|
| Summary |
Octoberはコンテンツ管理システム(CMS)およびウェブプラットフォームです。バージョン3.7.14および4.1.10以前のバージョンには、SVGサニタイズロジックに格納型クロスサイトスクリプティング(XSS)脆弱性が含まれています。イベントハンドラ属性(onclickやonloadなど)を除去するために使用される正規表現パターンは、属性の境界をマッチさせる方法を悪用した巧妙に作成されたペイロードによって回避される可能性があります。これにより、JavaScriptを埋め込んだ悪意のあるSVGファイルをメディアマネージャー経由でアップロードすることが可能になります。悪用されるとスーパーユーザーが悪意のあるSVGを表示または埋め込むことで権限昇格が発生する可能性があり、認証されたバックエンドアクセスおよびメディアのアップロード権限が必要です。ペイロードを発動させるためには、SVGがページ内で表示または埋め込まれる必要があります。この問題はバージョン3.7.14および4.1.10で修正されています。
|
| Possible impacts |
当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。 |
| Solution |
正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
April 14, 2026, midnight |
| Registration Date |
April 27, 2026, 11:23 a.m. |
| Last Update |
April 27, 2026, 11:23 a.m. |
|
CVSS3.0 : 警告
|
| Score |
4.8
|
| Vector |
CVSS:3.0/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N |
Affected System
| OctoberCMS |
|
October 3.7.13 およびそれ以前
|
|
October 4.0.0 から 4.1.9
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年04月27日]
掲載 |
April 27, 2026, 11:23 a.m. |
NVD Vulnerability Information
CVE-2026-25133
| Summary |
October is a Content Management System (CMS) and web platform. Versions prior to 3.7.14 and 4.1.10 contain a stored cross-site scripting (XSS) vulnerability in the SVG sanitization logic. The regex pattern used to strip event handler attributes (such as onclick or onload) could be bypassed using a crafted payload that exploits how the pattern matches attribute boundaries, allowing malicious SVG files to be uploaded through the Media Manager with embedded JavaScript. Exploitation could lead to privilege escalation if a superuser views or embeds the malicious SVG, and requires authenticated backend access with media upload permissions. The SVG must be viewed or embedded in a page for the payload to trigger. This issue has been fixed in versions 3.7.14 and 4.1.10.
|
| Publication Date |
April 15, 2026, 6:16 a.m. |
| Registration Date |
April 15, 2026, 11:41 a.m. |
| Last Update |
April 24, 2026, 2:50 a.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:octobercms:october:*:*:*:*:*:*:*:* |
|
3.7.13 |
|
|
| cpe:2.3:a:octobercms:october:*:*:*:*:*:*:*:* |
4.0.0 |
4.1.9 |
|
|
Related information, measures and tools
Common Vulnerabilities List