製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

MaxKBにおけるクロスサイトスクリプティングの脆弱性

タイトル	MaxKBにおけるクロスサイトスクリプティングの脆弱性
概要	MaxKBは企業向けのオープンソースAIアシスタントです。バージョン2.7.1以下には、フロントエンドのMdRenderer.vueコンポーネントがLLMの応答やアプリケーションプロローグ設定からカスタムのiframe_renderタグを解析し、標準のMarkdownサニタイズおよびXSSフィルタリングを回避するストアドクロスサイトスクリプティング（XSS）の脆弱性が含まれていました。未サニタイズのHTMLコンテンツがIframeRender.vueコンポーネントに渡され、sandbox="allow-scripts allow-same-origin"の設定がされたsrcdoc属性を使って直接iframe内にレンダリングされます。これは危険な組み合わせであり、注入されたスクリプトがiframeを脱出してwindow.parentを使い、親ウィンドウでJavaScriptを実行できる可能性があります。プロローグはアプリケーションのチャットインターフェースを訪れるすべてのユーザーに対してレンダリングされるため、これによりセッションハイジャック、不正な操作、機密データの漏洩が引き起こされる高インパクトなストアドXSSが発生しました。この問題はバージョン2.8.0で修正されました。
想定される影響	当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。さらに、当該ソフトウェアは停止しません。そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。
対策	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年4月14日0:00
登録日	2026年4月21日10:45
最終更新日	2026年4月21日10:45

CVSS3.0 : 警告
スコア	5.4
ベクター	CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

影響を受けるシステム

MaxKB

MaxKB 2.8.0 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-39426	https://www.cve.org/CVERecord?id=CVE-2026-39426
National Vulnerability Database (NVD)
2	CVE-2026-39426	https://nvd.nist.gov/vuln/detail/CVE-2026-39426

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	名前	URL
GitHub
1	Stored XSS via Unsanitized iframe_render Parsing in MaxKB Advisory 1Panel-dev/MaxKB GitHub	https://github.com/1Panel-dev/MaxKB/security/advisories/GHSA-q2qg-43vq-f2wv

その他

No	名前	URL
関連文書
1	Release v2.8.0 1Panel-dev/MaxKB GitHub	https://github.com/1Panel-dev/MaxKB/releases/tag/v2.8.0

変更履歴

No	変更内容	変更日
1	[2026年04月21日] 掲載	2026年4月21日10:45

NVD脆弱性情報

CVE-2026-39426

概要	MaxKB is an open-source AI assistant for enterprise. Versions 2.7.1 and below contain a Stored Cross-Site Scripting (XSS) vulnerability where the frontend's MdRenderer.vue component parses custom <iframe_render> tags from LLM responses or Application Prologue configurations, bypassing standard Markdown sanitization and XSS filtering. The unsanitized HTML content is passed to the IframeRender.vue component, which renders it directly into an <iframe> via the srcdoc attribute configured with sandbox="allow-scripts allow-same-origin". This can be a dangerous combination, allowing injected scripts to escape the iframe and execute JavaScript in the parent window using window.parent. Since the Prologue is rendered for any user visiting an application's chat interface, this results in a high-impact Stored XSS that can lead to session hijacking, unauthorized actions, and sensitive data exposure. This issue has been fixed in version 2.8.0.
公表日	2026年4月14日11:16
登録日	2026年4月15日11:39
最終更新日	2026年4月21日2:31

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:maxkb:maxkb:::::-:::*					2.8.0

関連情報、対策とツール

No	URL	refsource	タグ
1	https://github.com/1Panel-dev/MaxKB/releases/tag/v2.8.0	security-advisories@github.com
2	https://github.com/1Panel-dev/MaxKB/security/advisories/GHSA-q2qg-43vq-f2wv	security-advisories@github.com

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-79	クロスサイト・スクリプティング（XSS）	https://cwe.mitre.org/data/definitions/79.html