製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

xibosignageのxiboにおけるクロスサイトスクリプティングの脆弱性

タイトル	xibosignageのxiboにおけるクロスサイトスクリプティングの脆弱性
概要	Xiboは、ウェブコンテンツ管理システムとWindowsディスプレイプレイヤーソフトウェアを備えたオープンソースのデジタルサイネージプラットフォームです。バージョン4.4.1より前のバージョンには、保存型クロスサイトスクリプティング（XSS）脆弱性が存在し、通知作成権限を持つ認証済みユーザーが通知本文に任意のJavaScriptを注入できます。通知が「割り込み」として設定されると、ペイロードは対象ユーザーがログインした際にブラウザで自動的に実行され、ユーザーの操作を一切必要としません。この脆弱性は、管理者以外には標準で付与されていない以下の両方の特権を持つ認可ユーザーによって悪用される可能性があります：過去の通知を表示するための通知センターへのアクセス権と、新しい通知作成を可能にする「通知追加」ボタンの権限です。ユーザーはこの問題を修正したバージョン4.4.1にアップグレードすることを推奨します。修正バージョンへのアップグレードが必要であり、アップグレードできない場合は信頼できないユーザーから該当権限を取り消すべきです。
想定される影響	当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。さらに、当該ソフトウェアは停止しません。そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。
対策	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年4月24日0:00
登録日	2026年4月30日12:31
最終更新日	2026年4月30日12:31

CVSS3.0 : 警告
スコア	5.4
ベクター	CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

影響を受けるシステム

xibosignage

xibo 4.4.1 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-31953	https://www.cve.org/CVERecord?id=CVE-2026-31953
National Vulnerability Database (NVD)
2	CVE-2026-31953	https://nvd.nist.gov/vuln/detail/CVE-2026-31953

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	名前	URL
GitHub
1	Stored XSS via Notification Body with Zero-Click Execution on Login Advisory xibosignage/xibo-cms GitHub	https://github.com/xibosignage/xibo-cms/security/advisories/GHSA-85w9-c833-q4w2

その他

No	名前	URL
関連文書
1	Release 4.4.1 xibosignage/xibo-cms GitHub	https://github.com/xibosignage/xibo-cms/releases/tag/4.4.1

変更履歴

No	変更内容	変更日
1	[2026年04月30日] 掲載	2026年4月30日12:31

NVD脆弱性情報

CVE-2026-31953

概要	Xibo is an open source digital signage platform with a web content management system and Windows display player software. A stored Cross-Site Scripting (XSS) vulnerability in versions prior to 4.4.1 allows an authenticated user with notification creation permissions to inject arbitrary JavaScript into the notification body. When the notification is set as an "interrupt," the payload executes automatically in the browser of any targeted user upon login, requiring zero user interaction. Exploitation of the vulnerability is possible on behalf of an authorized user who has both of the following privileges, which are not granted to non-admins as standard: Access to the Notification Centre to view past notifications, and include "Add Notification" button to allow for the creation of new notifications. Users should upgrade to version 4.4.1 which fixes this issue. Upgrading to a fixed version is necessary to remediate. Users unable to upgrade should revoke such privileges from users they do not trust.
公表日	2026年4月24日10:16
登録日	2026年4月25日4:07
最終更新日	2026年4月27日23:43

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:xibosignage:xibo::::::::					4.4.1

関連情報、対策とツール

No	URL	refsource	タグ
1	https://github.com/xibosignage/xibo-cms/releases/tag/4.4.1	security-advisories@github.com
2	https://github.com/xibosignage/xibo-cms/security/advisories/GHSA-85w9-c833-q4w2	security-advisories@github.com

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-79	クロスサイト・スクリプティング（XSS）	https://cwe.mitre.org/data/definitions/79.html