製品・ソフトウェアに関する情報

JVN脆弱性詳細

OctoberCMSのOctoberにおけるクロスサイトスクリプティングの脆弱性

Title	OctoberCMSのOctoberにおけるクロスサイトスクリプティングの脆弱性
Summary	Octoberはコンテンツ管理システム（CMS）およびウェブプラットフォームです。バージョン3.7.14および4.1.10以前には、イベントログのメールプレビュ機能に格納型クロスサイトスクリプティング（XSS）脆弱性が存在していました。ログに記録されたメールメッセージを表示する際に、HTMLコンテンツが適切なサンドボックス処理なしにiframe内でレンダリングされ、閲覧者のブラウザコンテキストでJavaScriptが実行可能となっていました。この問題はバージョン3.7.14および4.1.10で修正されています。すぐにアップデートできないユーザーは、メールテンプレートの編集権限を完全に信頼できる管理者にのみ制限し、イベントログの閲覧権限を制限して露出を最小限に抑えることが回避策として推奨されます。
Possible impacts	当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。さらに、当該ソフトウェアは停止しません。そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	April 14, 2026, midnight
Registration Date	April 23, 2026, 10:15 a.m.
Last Update	April 23, 2026, 10:15 a.m.

CVSS3.0 : 警告
Score	5.4
Vector	CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

Affected System

OctoberCMS

October 3.7.13 およびそれ以前

October 4.0.0 から 4.1.9

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-24907	https://www.cve.org/CVERecord?id=CVE-2026-24907
National Vulnerability Database (NVD)
2	CVE-2026-24907	https://nvd.nist.gov/vuln/detail/CVE-2026-24907

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	Name	URL
GitHub
1	Stored XSS in Event Log Mail Preview Advisory octobercms/october GitHub	https://github.com/octobercms/october/security/advisories/GHSA-j4j5-9x6g-rgxc

Change Log

No	Changed Details	Date of change
1	[2026年04月23日] 掲載	April 23, 2026, 10:15 a.m.

NVD Vulnerability Information

CVE-2026-24907

Summary	October is a Content Management System (CMS) and web platform. Versions prior to 3.7.14 and 4.1.10 contain a stored cross-site scripting (XSS) vulnerability in the Event Log mail preview feature. When viewing logged mail messages, HTML content was rendered in an iframe without proper sandboxing, allowing JavaScript execution in the viewer's browser context. This issue has been fixed in versions 3.7.14 and 4.1.10. If users are unable to update immediately, workarounds include restricting mail template editing permissions to fully trusted administrators only and restricting Event Log viewing permissions to minimize exposure.
Publication Date	April 15, 2026, 3:16 a.m.
Registration Date	April 15, 2026, 11:40 a.m.
Last Update	April 22, 2026, 2:24 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:octobercms:october::::::::		3.7.13
cpe:2.3:a:octobercms:october::::::::	4.0.0	4.1.9

Related information, measures and tools

No	URL	refsource	タグ
1	https://github.com/octobercms/october/security/advisories/GHSA-j4j5-9x6g-rgxc	security-advisories@github.com

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-79	クロスサイト・スクリプティング（XSS）	https://cwe.mitre.org/data/definitions/79.html