| タイトル | Bluditにおけるクロスサイトスクリプティングの脆弱性 |
|---|---|
| 概要 | Bluditはページ作成機能においてストアドクロスサイトスクリプティング(XSS)の脆弱性があります。認証済みでページ作成権限(著者、編集者、管理者など)を持つ攻撃者は、新規作成された記事のtagsフィールドに悪意のあるJavaScriptペイロードを埋め込むことができます。このペイロードは、被害者がアップロードされたリソースのURLにアクセスした際に実行されます。アップロードされたリソース自体は認証なしでアクセス可能です。特に、この脆弱性は被害者が十分な権限を持つ場合に、新たなサイト管理者を自動的に作成するために利用される可能性があります。ベンダーはこの脆弱性について早期に通知を受けましたが、脆弱性の詳細や影響を受けるバージョン範囲についての回答はありませんでした。バージョン3.17.2及び3.18.0のみがテストされて脆弱であることが確認されており、その他のバージョンは未テストであるため、脆弱である可能性があります。 |
| 想定される影響 | 当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。 |
| 対策 | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年4月7日0:00 |
| 登録日 | 2026年4月21日10:44 |
| 最終更新日 | 2026年4月21日10:44 |
| CVSS3.0 : 警告 | |
| スコア | 5.4 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
| Bludit |
| Bludit 3.17.2 |
| Bludit 3.18.0 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年04月21日] 掲載 |
2026年4月21日10:44 |
| 概要 | Bludit is vulnerable to Stored Cross-Site Scripting (XSS) in its page creating functionality. An authenticated attacker with page creation privileges (such as Author, Editor, or Administrator) can embed a malicious JavaScript payload in the tags field of a newly created article. This payload will be executed when a victim visits the URL of the uploaded resource. The uploaded resource itself is accessible without authentication. Critically, this vulnerability could be used to automatically create a new site administrator if the victim has enough privileges. The vendor was notified early about this vulnerability, but didn't respond with the details of vulnerability or vulnerable version range. Only versions 3.17.2 and 3.18.0 were tested and confirmed as vulnerable, other versions were not tested and might also be vulnerable. |
|---|---|
| 公表日 | 2026年4月7日20:16 |
| 登録日 | 2026年4月15日11:28 |
| 最終更新日 | 2026年4月21日1:51 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:bludit:bludit:3.17.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:bludit:bludit:3.18.0:*:*:*:*:*:*:* | |||||