| Title | Absinthe-graphqlのAbsinthe.Plug (absinthe plug)におけるクロスサイトスクリプティングの脆弱性 |
|---|---|
| Summary | absinthe-graphql の absinthe_plug における不適切な入力の中和により、ウェブページ生成中に発生する脆弱性(XSS)が、GraphiQL インターフェースを通じて反射型クロスサイトスクリプティングを引き起こす可能性があります。'Elixir.Absinthe.Plug.GraphiQL':js_escape/1 関数は、lib/absinthe/plug/graphiql.ex 内でクエリの GET パラメータに含まれるシングルクオートや改行をエスケープし、インラインJavaScript文字列に埋め込む前に処理しますが、バックスラッシュはエスケープしません。攻撃者はシングルクオートの前にバックスラッシュ(例: \')を付けることでエスケープを回避し、文字列コンテキストを抜け出して被害者のブラウザ内で任意のJavaScriptを実行できます。この問題は absinthe_plug バージョン 1.2.0 から 1.5.10 より前のバージョンに影響します。 |
| Possible impacts | 当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。 |
| Solution | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | May 8, 2026, midnight |
| Registration Date | May 25, 2026, 10:25 a.m. |
| Last Update | May 25, 2026, 10:25 a.m. |
| CVSS3.0 : 警告 | |
| Score | 6.1 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
| Absinthe-graphql |
| Absinthe.Plug (absinthe plug) 1.2.0 以上 1.5.10 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年05月25日] 掲載 |
May 25, 2026, 10:25 a.m. |
| Summary | Improper Neutralization of Input During Web Page Generation (XSS) vulnerability in absinthe-graphql absinthe_plug allows reflected cross-site scripting via the GraphiQL interface. 'Elixir.Absinthe.Plug.GraphiQL':js_escape/1 in lib/absinthe/plug/graphiql.ex escapes single quotes and newlines in the query GET parameter before embedding it in an inline JavaScript string, but does not escape backslashes. An attacker can bypass the escaping by prefixing a quote with a backslash (e.g. \'), breaking out of the string context and executing arbitrary JavaScript in the victim's browser. This issue affects absinthe_plug: from 1.2.0. |
|---|---|
| Publication Date | May 9, 2026, 1:16 a.m. |
| Registration Date | May 9, 2026, 4:15 a.m. |
| Last Update | May 14, 2026, 12:57 a.m. |