xibosignageのxiboにおけるクロスサイトスクリプティングの脆弱性
| Title |
xibosignageのxiboにおけるクロスサイトスクリプティングの脆弱性
|
| Summary |
Xiboは、ウェブコンテンツ管理システムとWindowsディスプレイプレイヤーソフトウェアを備えたオープンソースのデジタルサイネージプラットフォームです。バージョン4.4.1より前のバージョンには、保存型クロスサイトスクリプティング(XSS)脆弱性が存在し、通知作成権限を持つ認証済みユーザーが通知本文に任意のJavaScriptを注入できます。通知が「割り込み」として設定されると、ペイロードは対象ユーザーがログインした際にブラウザで自動的に実行され、ユーザーの操作を一切必要としません。この脆弱性は、管理者以外には標準で付与されていない以下の両方の特権を持つ認可ユーザーによって悪用される可能性があります:過去の通知を表示するための通知センターへのアクセス権と、新しい通知作成を可能にする「通知追加」ボタンの権限です。ユーザーはこの問題を修正したバージョン4.4.1にアップグレードすることを推奨します。修正バージョンへのアップグレードが必要であり、アップグレードできない場合は信頼できないユーザーから該当権限を取り消すべきです。
|
| Possible impacts |
当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。 |
| Solution |
正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
April 24, 2026, midnight |
| Registration Date |
April 30, 2026, 12:31 p.m. |
| Last Update |
April 30, 2026, 12:31 p.m. |
|
CVSS3.0 : 警告
|
| Score |
5.4
|
| Vector |
CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Affected System
| xibosignage |
|
xibo 4.4.1 未満
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年04月30日]
掲載 |
April 30, 2026, 12:31 p.m. |
NVD Vulnerability Information
CVE-2026-31953
| Summary |
Xibo is an open source digital signage platform with a web content management system and Windows display player software. A stored Cross-Site Scripting (XSS) vulnerability in versions prior to 4.4.1 allows an authenticated user with notification creation permissions to inject arbitrary JavaScript into the notification body. When the notification is set as an "interrupt," the payload executes automatically in the browser of any targeted user upon login, requiring zero user interaction. Exploitation of the vulnerability is possible on behalf of an authorized user who has both of the following privileges, which are not granted to non-admins as standard: Access to the Notification Centre to view past notifications, and include "Add Notification" button to allow for the creation of new notifications. Users should upgrade to version 4.4.1 which fixes this issue. Upgrading to a fixed version is necessary to remediate. Users unable to upgrade should revoke such privileges from users they do not trust.
|
| Publication Date |
April 24, 2026, 10:16 a.m. |
| Registration Date |
April 25, 2026, 4:07 a.m. |
| Last Update |
April 27, 2026, 11:43 p.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:xibosignage:xibo:*:*:*:*:*:*:*:* |
|
|
|
4.4.1 |
Related information, measures and tools
Common Vulnerabilities List