| Title | GitroomのPostizにおける複数の脆弱性 |
|---|---|
| Summary | PostizはAIを活用したソーシャルメディアスケジューリングツールです。バージョン2.21.6以前では、ファイルアップロードの検証を回避できる脆弱性があり、認証済みユーザーが`Content-Type`ヘッダーを偽装することで任意のHTML、SVG、またはその他の実行可能ファイルタイプをサーバーにアップロードできました。アップロードされたファイルは元の拡張子に基づくContent-Type(`text/html`、`image/svg+xml`)でnginxによって配信され、アプリケーションのオリジンコンテキストにおいてストアドクロスサイトスクリプティング(XSS)が発生する可能性があります。これにより、セッションハイジャックやアカウントの乗っ取り、他のユーザーアカウントの完全な侵害が引き起こされる恐れがあります。バージョン2.21.6でこの問題は修正されています。 |
| Possible impacts | 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。 |
| Solution | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | April 18, 2026, midnight |
| Registration Date | April 24, 2026, 11:41 a.m. |
| Last Update | April 24, 2026, 11:41 a.m. |
| CVSS3.0 : 緊急 | |
| Score | 9 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H |
| Gitroom |
| Postiz 2.21.6 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年04月24日] 掲載 |
April 24, 2026, 11:41 a.m. |
| Summary | Postiz is an AI social media scheduling tool. Prior to version 2.21.6, a file upload validation bypass allows any authenticated user to upload arbitrary HTML, SVG, or other executable file types to the server by spoofing the `Content-Type` header. The uploaded files are then served by nginx with a Content-Type derived from their original extension (`text/html`, `image/svg+xml`), enabling Stored Cross-Site Scripting (XSS) in the context of the application's origin. This can lead to session riding, account takeover, and full compromise of other users' accounts. Version 2.21.6 contains a fix. |
|---|---|
| Publication Date | April 18, 2026, 11:16 a.m. |
| Registration Date | April 19, 2026, 4:09 a.m. |
| Last Update | April 24, 2026, 12:27 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:gitroom:postiz:*:*:*:*:*:*:*:* | 2.21.6 | ||||