| Title | Flowsintにおけるクロスサイトスクリプティングの脆弱性 |
|---|---|
| Summary | Flowsintは、サイバーセキュリティ調査、透明性、および検証を目的としたオープンソースのOSINTグラフ探索ツールです。バージョン1.2.3以前のFlowsintでは、ユーザーが調査を作成でき、それによってスケッチや分析を管理できます。スケッチにはノードと関係で構成される制御可能なグラフが含まれています。スケッチはこれらのノードと関係の中にOSINT対象(ユーザー名、ウェブサイトなど)の情報を含んでいます。リモートの攻撃者は、任意のHTMLを含む悪意のある説明文を持つノードを作成できます。そのノードが選択されると、任意のHTMLがレンダリングされ、保存型XSSを引き起こす可能性があります。この脆弱性はバージョン1.2.3で修正されました。 |
| Possible impacts | 当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。 |
| Solution | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | May 14, 2026, midnight |
| Registration Date | May 25, 2026, 10:25 a.m. |
| Last Update | May 25, 2026, 10:25 a.m. |
| CVSS3.0 : 警告 | |
| Score | 5.4 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
| Flowsint |
| Flowsint 1.2.3 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年05月25日] 掲載 |
May 25, 2026, 10:25 a.m. |
| Summary | Flowsint is an open-source OSINT graph exploration tool designed for cybersecurity investigation, transparency, and verification. Prior to 1.2.3, Flowsint allows a user to create investigations, which are used to manage sketches and analyses. Sketches have controllable graphs, which are comprised of nodes and relationships. The sketches contain information on an OSINT target (usernames, websites, etc) within these nodes and relationships. A remote attacker can create a node with a malicious description that contains arbitrary HTML. When the node is selected, it will render the arbitrary HTML, potentially triggering stored XSS. This vulnerability is fixed in 1.2.3. |
|---|---|
| Publication Date | May 15, 2026, 1:16 a.m. |
| Registration Date | May 15, 2026, 4:25 a.m. |
| Last Update | May 15, 2026, 3:12 a.m. |