| タイトル | OctoberCMSのOctoberにおけるクロスサイトスクリプティングの脆弱性 |
|---|---|
| 概要 | Octoberはコンテンツ管理システム(CMS)およびウェブプラットフォームです。バージョン3.7.14および4.1.10以前には、イベントログのメールプレビュ機能に格納型クロスサイトスクリプティング(XSS)脆弱性が存在していました。ログに記録されたメールメッセージを表示する際に、HTMLコンテンツが適切なサンドボックス処理なしにiframe内でレンダリングされ、閲覧者のブラウザコンテキストでJavaScriptが実行可能となっていました。この問題はバージョン3.7.14および4.1.10で修正されています。すぐにアップデートできないユーザーは、メールテンプレートの編集権限を完全に信頼できる管理者にのみ制限し、イベントログの閲覧権限を制限して露出を最小限に抑えることが回避策として推奨されます。 |
| 想定される影響 | 当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。 |
| 対策 | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年4月14日0:00 |
| 登録日 | 2026年4月23日10:15 |
| 最終更新日 | 2026年4月23日10:15 |
| CVSS3.0 : 警告 | |
| スコア | 5.4 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
| OctoberCMS |
| October 3.7.13 およびそれ以前 |
| October 4.0.0 から 4.1.9 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年04月23日] 掲載 |
2026年4月23日10:15 |
| 概要 | October is a Content Management System (CMS) and web platform. Versions prior to 3.7.14 and 4.1.10 contain a stored cross-site scripting (XSS) vulnerability in the Event Log mail preview feature. When viewing logged mail messages, HTML content was rendered in an iframe without proper sandboxing, allowing JavaScript execution in the viewer's browser context. This issue has been fixed in versions 3.7.14 and 4.1.10. If users are unable to update immediately, workarounds include restricting mail template editing permissions to fully trusted administrators only and restricting Event Log viewing permissions to minimize exposure. |
|---|---|
| 公表日 | 2026年4月15日3:16 |
| 登録日 | 2026年4月15日11:40 |
| 最終更新日 | 2026年4月22日2:24 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:octobercms:october:*:*:*:*:*:*:*:* | 3.7.13 | ||||
| cpe:2.3:a:octobercms:october:*:*:*:*:*:*:*:* | 4.0.0 | 4.1.9 | |||