| タイトル | BackdropのBackdrop CMSにおけるクロスサイトスクリプティングの脆弱性 |
|---|---|
| 概要 | Backdrop CMS 1.28.xの1.28.5未満および1.29.xの1.29.3未満において、XSSの問題が発見されました。CKEditor 5リッチテキストエディターを使用する際に長いテキストコンテンツを十分に分離していません。このため、攻撃者は管理者がコンテンツを編集しようとした際に実行される可能性のある特殊なHTMLおよびJavaScriptを作成できる恐れがあります。この脆弱性は、攻撃者が長いテキストコンテンツ(ノードやコメントのフォームなどを介して)を作成する権限を持ち、かつ管理者が悪意のあるコンテンツを含むコンテンツを編集(表示ではなく)する必要があるため、ある程度緩和されています。この問題はCKEditor 5モジュールを使用している場合にのみ存在します。 |
| 想定される影響 | 当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。 |
| 対策 | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2025年2月3日0:00 |
| 登録日 | 2026年1月26日19:30 |
| 最終更新日 | 2026年1月26日19:30 |
| CVSS3.0 : 警告 | |
| スコア | 4.4 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:H/PR:L/UI:R/S:C/C:L/I:L/A:N |
| Backdrop |
| Backdrop CMS 1.28.0 以上 1.28.5 未満 |
| Backdrop CMS 1.29.0 以上 1.29.3 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年01月26日] 掲載 |
2026年1月26日19:30 |
| 概要 | An XSS issue was discovered in Backdrop CMS 1.28.x before 1.28.5 and 1.29.x before 1.29.3. It doesn't sufficiently isolate long text content when the CKEditor 5 rich text editor is used. This allows a potential attacker to craft specialized HTML and JavaScript that may be executed when an administrator attempts to edit a piece of content. This vulnerability is mitigated by the fact that an attacker must have the ability to create long text content (such as through the node or comment forms) and an administrator must edit (not view) the content that contains the malicious content. This problem only exists when using the CKEditor 5 module. |
|---|---|
| 公表日 | 2025年2月3日13:15 |
| 登録日 | 2025年2月4日4:01 |
| 最終更新日 | 2025年2月3日13:15 |