| タイトル | Flowsintにおけるクロスサイトスクリプティングの脆弱性 |
|---|---|
| 概要 | Flowsintは、サイバーセキュリティ調査、透明性、および検証を目的としたオープンソースのOSINTグラフ探索ツールです。バージョン1.2.3以前のFlowsintでは、ユーザーが調査を作成でき、それによってスケッチや分析を管理できます。スケッチにはノードと関係で構成される制御可能なグラフが含まれています。スケッチはこれらのノードと関係の中にOSINT対象(ユーザー名、ウェブサイトなど)の情報を含んでいます。リモートの攻撃者は、任意のHTMLを含む悪意のある説明文を持つノードを作成できます。そのノードが選択されると、任意のHTMLがレンダリングされ、保存型XSSを引き起こす可能性があります。この脆弱性はバージョン1.2.3で修正されました。 |
| 想定される影響 | 当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。 |
| 対策 | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年5月14日0:00 |
| 登録日 | 2026年5月25日10:25 |
| 最終更新日 | 2026年5月25日10:25 |
| CVSS3.0 : 警告 | |
| スコア | 5.4 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
| Flowsint |
| Flowsint 1.2.3 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年05月25日] 掲載 |
2026年5月25日10:25 |
| 概要 | Flowsint is an open-source OSINT graph exploration tool designed for cybersecurity investigation, transparency, and verification. Prior to 1.2.3, Flowsint allows a user to create investigations, which are used to manage sketches and analyses. Sketches have controllable graphs, which are comprised of nodes and relationships. The sketches contain information on an OSINT target (usernames, websites, etc) within these nodes and relationships. A remote attacker can create a node with a malicious description that contains arbitrary HTML. When the node is selected, it will render the arbitrary HTML, potentially triggering stored XSS. This vulnerability is fixed in 1.2.3. |
|---|---|
| 公表日 | 2026年5月15日1:16 |
| 登録日 | 2026年5月15日4:25 |
| 最終更新日 | 2026年5月15日3:12 |