製品・ソフトウェアに関する情報

JVN脆弱性詳細

Umbracoのumbraco forms等の複数製品におけるクロスサイトスクリプティングの脆弱性

タイトル	Umbracoのumbraco forms等の複数製品におけるクロスサイトスクリプティングの脆弱性
概要	Umbraco Commerceは、オープンソースのdotnet Webフォームソリューションです。影響を受けるバージョンでは、認証済みのユーザーがフォームの編集権限を持っている場合、フォームコンポーネントに安全でないコードを注入できる可能性があります。この問題は、パッチ済みバージョン（13.0.1、12.2.2、10.5.3、8.13.13）のいずれかにアップグレードし、TitleAndDescription:AllowUnsafeHtmlRenderingを設定することで緩和できます。
想定される影響	当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。さらに、当該ソフトウェアは停止しません。そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。
対策	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2024年5月28日0:00
登録日	2026年1月7日18:27
最終更新日	2026年1月7日18:27

影響を受けるシステム

Umbraco

umbraco forms 11.0.0 以上 12.2.2 未満

umbraco forms 13.0.0 以上 13.0.1 未満

umbraco forms 8.13.13 未満

umbraco forms 9.0.0 以上 10.5.3 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2024-35239	https://www.cve.org/CVERecord?id=CVE-2024-35239
National Vulnerability Database (NVD)
2	CVE-2024-35239	https://nvd.nist.gov/vuln/detail/CVE-2024-35239

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	名前	URL
GitHub Advisory Database
1	Stored XSS on Components of Umbraco Forms Advisory umbraco/Umbraco.Forms.Issues GitHub	https://github.com/umbraco/Umbraco.Forms.Issues/security/advisories/GHSA-p572-p2rj-q5f4

その他

No	名前	URL
関連文書
1	Configuration \| Forms \| Umbraco Documentation	https://docs.umbraco.com/umbraco-forms/developer/configuration#editing-configuration-values
2	Release Notes \| Forms \| Umbraco Documentation	https://docs.umbraco.com/umbraco-forms/release-notes#id-13.0.1-january-16th-2024
3	Umbraco Documentation (https://docs.umbraco.com/umbraco-forms/v/10.forms.latest/release-notes)	https://docs.umbraco.com/umbraco-forms/v/10.forms.latest/release-notes
4	Umbraco Documentation (https://docs.umbraco.com/umbraco-forms/v/12.forms.latest/release-notes#id-12.2.2-january-16th-2024)	https://docs.umbraco.com/umbraco-forms/v/12.forms.latest/release-notes#id-12.2.2-january-16th-2024

変更履歴

No	変更内容	変更日
1	[2026年01月07日] 掲載	2026年1月7日18:27

NVD脆弱性情報

CVE-2024-35239

概要	Umbraco Commerce is an open source dotnet web forms solution. In affected versions an authenticated user that has access to edit Forms may inject unsafe code into Forms components. This issue can be mitigated by configuring TitleAndDescription:AllowUnsafeHtmlRendering after upgrading to one of the patched versions (13.0.1, 12.2.2, 10.5.3, 8.13.13).
公表日	2024年5月29日6:16
登録日	2024年5月29日10:00
最終更新日	2024年11月21日18:20

関連情報、対策とツール

No	URL	refsource	タグ
1	https://docs.umbraco.com/umbraco-forms/developer/configuration#editing-configuration-values
2	https://docs.umbraco.com/umbraco-forms/developer/configuration#editing-configuration-values
3	https://docs.umbraco.com/umbraco-forms/release-notes#id-13.0.1-january-16th-2024
4	https://docs.umbraco.com/umbraco-forms/release-notes#id-13.0.1-january-16th-2024
5	https://docs.umbraco.com/umbraco-forms/v/10.forms.latest/release-notes
6	https://docs.umbraco.com/umbraco-forms/v/10.forms.latest/release-notes
7	https://docs.umbraco.com/umbraco-forms/v/12.forms.latest/release-notes#id-12.2.2-january-16th-2024
8	https://docs.umbraco.com/umbraco-forms/v/12.forms.latest/release-notes#id-12.2.2-january-16th-2024
9	https://github.com/umbraco/Umbraco.Forms.Issues/security/advisories/GHSA-p572-p2rj-q5f4
10	https://github.com/umbraco/Umbraco.Forms.Issues/security/advisories/GHSA-p572-p2rj-q5f4

共通脆弱性一覧