| タイトル | Absinthe-graphqlのAbsinthe.Plug (absinthe plug)におけるクロスサイトスクリプティングの脆弱性 |
|---|---|
| 概要 | absinthe-graphql の absinthe_plug における不適切な入力の中和により、ウェブページ生成中に発生する脆弱性(XSS)が、GraphiQL インターフェースを通じて反射型クロスサイトスクリプティングを引き起こす可能性があります。'Elixir.Absinthe.Plug.GraphiQL':js_escape/1 関数は、lib/absinthe/plug/graphiql.ex 内でクエリの GET パラメータに含まれるシングルクオートや改行をエスケープし、インラインJavaScript文字列に埋め込む前に処理しますが、バックスラッシュはエスケープしません。攻撃者はシングルクオートの前にバックスラッシュ(例: \')を付けることでエスケープを回避し、文字列コンテキストを抜け出して被害者のブラウザ内で任意のJavaScriptを実行できます。この問題は absinthe_plug バージョン 1.2.0 から 1.5.10 より前のバージョンに影響します。 |
| 想定される影響 | 当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。 |
| 対策 | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年5月8日0:00 |
| 登録日 | 2026年5月25日10:25 |
| 最終更新日 | 2026年5月25日10:25 |
| CVSS3.0 : 警告 | |
| スコア | 6.1 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
| Absinthe-graphql |
| Absinthe.Plug (absinthe plug) 1.2.0 以上 1.5.10 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年05月25日] 掲載 |
2026年5月25日10:25 |
| 概要 | Improper Neutralization of Input During Web Page Generation (XSS) vulnerability in absinthe-graphql absinthe_plug allows reflected cross-site scripting via the GraphiQL interface. 'Elixir.Absinthe.Plug.GraphiQL':js_escape/1 in lib/absinthe/plug/graphiql.ex escapes single quotes and newlines in the query GET parameter before embedding it in an inline JavaScript string, but does not escape backslashes. An attacker can bypass the escaping by prefixing a quote with a backslash (e.g. \'), breaking out of the string context and executing arbitrary JavaScript in the victim's browser. This issue affects absinthe_plug: from 1.2.0. |
|---|---|
| 公表日 | 2026年5月9日1:16 |
| 登録日 | 2026年5月9日4:15 |
| 最終更新日 | 2026年5月14日0:57 |