製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

Apostrophe TechnologiesのApostropheCMSにおけるクロスサイトスクリプティングの脆弱性

タイトル	Apostrophe TechnologiesのApostropheCMSにおけるクロスサイトスクリプティングの脆弱性
概要	ApostropheCMSはオープンソースのNode.jsコンテンツ管理システムです。バージョン4.28.0以前には@apostrophecms/color-fieldモジュールに保存型クロスサイトスクリプティングの脆弱性が存在していました。これは、--で始まるカラー値がCSSカスタムプロパティ用に意図されたTinyColorの検証を回避し、launder.string()呼び出しがHTMLのメタ文字を除去せず型の強制変換のみを行うためです。これらの未検証の値は、すべての訪問者にレンダリングされるウィジェット単位のスタイル要素および編集者にレンダリングされるグローバルスタイルシートのstyleタグに直接連結され、出力は安全なHTMLとしてマークされます。編集者は値を注入してstyleタグを閉じ、影響を受けるウィジェットを含む任意のページのすべての訪問者のブラウザで任意のJavaScriptを実行できます。これにより、大量のセッションハイジャックやクッキーの窃取、管理者がドラフトコンテンツを閲覧した場合の管理権限の権限昇格が可能となります。この問題はバージョン4.29.0で修正されました。
想定される影響	当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。さらに、当該ソフトウェアは停止しません。そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。
対策	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年4月15日0:00
登録日	2026年4月21日10:48
最終更新日	2026年4月21日10:48

CVSS3.0 : 警告
スコア	5.4
ベクター	CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

影響を受けるシステム

Apostrophe Technologies

ApostropheCMS 4.29.0 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-33889	https://www.cve.org/CVERecord?id=CVE-2026-33889
National Vulnerability Database (NVD)
2	CVE-2026-33889	https://nvd.nist.gov/vuln/detail/CVE-2026-33889

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	名前	URL
GitHub
1	Stored XSS via CSS Custom Property Injection in `@apostrophecms/color-field` Escaping Style Tag Context Advisory apostrophecms/apostrophe GitHub	https://github.com/apostrophecms/apostrophe/security/advisories/GHSA-97v6-998m-fp4g

その他

No	名前	URL
関連文書
1	Merge commit from fork apostrophecms/apostrophe@6a89bdb GitHub	https://github.com/apostrophecms/apostrophe/commit/6a89bdb7acdb2e1e9bf1429961a6ba7f99410481

変更履歴

No	変更内容	変更日
1	[2026年04月21日] 掲載	2026年4月21日10:48

NVD脆弱性情報

CVE-2026-33889

概要	ApostropheCMS is an open-source Node.js content management system. Versions 4.28.0 and prior contain a stored cross-site scripting vulnerability in the @apostrophecms/color-field module, where color values prefixed with -- bypass TinyColor validation intended for CSS custom properties, and the launder.string() call performs only type coercion without stripping HTML metacharacters. These unsanitized values are then concatenated directly into <style> tags both in per-widget style elements rendered for all visitors and in the global stylesheet rendered for editors, with the output marked as safe HTML. An editor can inject a value which closes the style tag and executes arbitrary JavaScript in the browser of every visitor to any page containing the affected widget. This enables mass session hijacking, cookie theft, and privilege escalation to administrative control if an admin views draft content. This issue has been fixed in version 4.29.0.
公表日	2026年4月16日5:16
登録日	2026年4月17日4:11
最終更新日	2026年4月21日2:03

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:apostrophecms:apostrophecms::::::::					4.29.0

関連情報、対策とツール

No	URL	refsource	タグ
1	https://github.com/apostrophecms/apostrophe/commit/6a89bdb7acdb2e1e9bf1429961a6ba7f99410481	security-advisories@github.com
2	https://github.com/apostrophecms/apostrophe/security/advisories/GHSA-97v6-998m-fp4g	security-advisories@github.com
3	https://github.com/apostrophecms/apostrophe/security/advisories/GHSA-97v6-998m-fp4g	134c704f-9b21-4f2e-91b3-4a467353bcc0

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-79	クロスサイト・スクリプティング（XSS）	https://cwe.mitre.org/data/definitions/79.html