製品・ソフトウェアに関する情報

JVN脆弱性詳細

Open edXのopenedxにおけるクロスサイトスクリプティングの脆弱性

Title	Open edXのopenedxにおけるクロスサイトスクリプティングの脆弱性
Summary	Open edXプラットフォームは、あらゆる規模のオンライン学習の作成と提供を可能にします。ディスカッション通知メールに使用されるHTMLサニタイザーであるclean_thread_html_body()は、ユーザー生成のディスカッション投稿コンテンツからstyleタグを削除できません。このコンテンツはメール通知テンプレートでDjangoの\|safeテンプレートフィルターを使用してレンダリングされるため、登録されている任意の学生が他のユーザーに送信されるメール通知に任意のCSSを注入できます。これにより、メール追跡（IPアドレスの開示）、コンテンツのなりすまし、およびフィッシング攻撃が可能となります。この脆弱性はコミットcddc25cd791bb78f76833896e4778f668861df12で修正されました。
Possible impacts	当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。さらに、当該ソフトウェアは停止しません。そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	May 11, 2026, midnight
Registration Date	May 15, 2026, 11 a.m.
Last Update	May 15, 2026, 11 a.m.

CVSS3.0 : 警告
Score	5.4
Vector	CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

Affected System

Open edX

openedx 2026-04-24 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-42857	https://www.cve.org/CVERecord?id=CVE-2026-42857
National Vulnerability Database (NVD)
2	CVE-2026-42857	https://nvd.nist.gov/vuln/detail/CVE-2026-42857

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	Name	URL
GitHub
1	Stored CSS Injection in Email Notifications via Incomplete HTML Sanitization Advisory openedx/openedx-platform GitHub	https://github.com/openedx/openedx-platform/security/advisories/GHSA-4xv3-5j4x-q8g4

その他

No	Name	URL
関連文書
1	fix: remove style tags from discussion email notification HTML openedx/openedx-platform@cddc25c GitHub	https://github.com/openedx/openedx-platform/commit/cddc25cd791bb78f76833896e4778f668861df12

Change Log

No	Changed Details	Date of change
1	[2026年05月15日] 掲載	May 15, 2026, 11 a.m.

NVD Vulnerability Information

CVE-2026-42857

Summary	Open edX Platform enables the authoring and delivery of online learning at any scale. The HTML sanitizer clean_thread_html_body() used for discussion notification emails fails to remove <style> tags from user-generated discussion post content. This content is rendered with Django's \|safe template filter in email notification templates, allowing any enrolled student to inject arbitrary CSS into email notifications sent to other users. This enables email tracking (IP address disclosure), content spoofing, and phishing attacks. This vulnerability is fixed with commit cddc25cd791bb78f76833896e4778f668861df12.
Publication Date	May 12, 2026, 3:16 a.m.
Registration Date	May 12, 2026, 4:14 a.m.
Last Update	May 14, 2026, 1:16 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:openedx:openedx::::::::					2026-04-24

Related information, measures and tools

No	URL	refsource
1	https://github.com/openedx/openedx-platform/commit/cddc25cd791bb78f76833896e4778f668861df12	security-advisories@github.com
2	https://github.com/openedx/openedx-platform/security/advisories/GHSA-4xv3-5j4x-q8g4	security-advisories@github.com
3	https://github.com/openedx/openedx-platform/security/advisories/GHSA-4xv3-5j4x-q8g4	134c704f-9b21-4f2e-91b3-4a467353bcc0

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-79	クロスサイト・スクリプティング（XSS）	https://cwe.mitre.org/data/definitions/79.html