製品・ソフトウェアに関する情報

JVN脆弱性詳細

diagramsのdrawioにおけるクロスサイトスクリプティングの脆弱性

Title	diagramsのdrawioにおけるクロスサイトスクリプティングの脆弱性
Summary	draw.ioは設定可能なダイアグラムおよびホワイトボードアプリケーションです。バージョン29.7.12より前のバージョンでは、細工された.drawioファイルを開くとエディターのオリジンで任意のJavaScriptを実行できます。この脆弱性は、レンダリングパス上で正しく動作するラベルサニタイザにはなく、生のセルラベルを読み取り、サニタイズせずに切り離された要素のinnerHTMLに割り当てるText Formatパネルの機能検出ルーチンにあります。ブラウザは切り離された要素でも画像読み込み失敗時にonerrorを発火させるため、任意のセルラベルに含まれるimg src=x onerror=...のペイロードはセルが選択されるとすぐにスクリプトを実行します。セルの選択はimport時に自動的に行われます。この問題はバージョン29.7.12で修正されました。
Possible impacts	・当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。・当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。・当該ソフトウェアは停止しません。
Solution	ベンダ情報を参照して適切な対策を実施してください。
Publication Date	June 10, 2026, midnight
Registration Date	June 17, 2026, 3:39 p.m.
Last Update	June 17, 2026, 3:39 p.m.

CVSS3.0 : 警告
Score	6.1
Vector	CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Affected System

diagrams

drawio 29.7.12 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-46642	https://www.cve.org/CVERecord?id=CVE-2026-46642
National Vulnerability Database (NVD)
2	CVE-2026-46642	https://nvd.nist.gov/vuln/detail/CVE-2026-46642

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	Name	URL
GitHub
1	XSS via crafted cell label when opening a .drawio file Advisory jgraph/drawio GitHub	https://github.com/jgraph/drawio/security/advisories/GHSA-fqhg-287p-c6vf

その他

No	Name	URL
関連文書
1	Release v29.7.12 jgraph/drawio GitHub	https://github.com/jgraph/drawio/releases/tag/v29.7.12

Change Log

No	Changed Details	Date of change
1	[2026年06月17日] 掲載	June 17, 2026, 3:39 p.m.

NVD Vulnerability Information

CVE-2026-46642

Summary	draw.io is a configurable diagramming and whiteboarding application. Prior to version 29.7.12, a crafted .drawio file can execute arbitrary JavaScript in the editor's origin when the file is opened. The vulnerability is not in the label sanitizer (which works correctly on the rendering path) but in a feature-detection routine in the Text Format panel that reads the raw cell label and assigns it to a detached element's innerHTML without sanitization. Browsers fire onerror for failed image loads even on detached elements, so an <img src=x onerror=...> payload in any cell label triggers script execution as soon as the cell is selected — which import does automatically. This issue has been patched in version 29.7.12.
Publication Date	June 11, 2026, 3:17 a.m.
Registration Date	June 11, 2026, 4:18 a.m.
Last Update	June 16, 2026, 10:54 p.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:diagrams:drawio::::::::					29.7.12

Related information, measures and tools

No	URL	refsource
1	https://github.com/jgraph/drawio/releases/tag/v29.7.12	security-advisories@github.com
2	https://github.com/jgraph/drawio/security/advisories/GHSA-fqhg-287p-c6vf	security-advisories@github.com
3	https://github.com/jgraph/drawio/security/advisories/GHSA-fqhg-287p-c6vf	134c704f-9b21-4f2e-91b3-4a467353bcc0

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-79	クロスサイト・スクリプティング（XSS）	https://cwe.mitre.org/data/definitions/79.html