概要
Statamic CMS に おける 蓄積型 クロスサイトスクリプティング(XSS)の 脆弱性 です。SVG アセット の 再 アップロード 時 に サニタイゼーション が 適切 に 適用 されず、悪意 の ある スクリプト を 含む SVG ファイル が 保存 されて しまう 問題 が 存在 します。
CWE-79(Improper Neutralization of Input During Web Page Generation)に 分類 される この 問題 に より、攻撃者 は 管理 画面 に 悪意 の ある SVG を アップロード し、他 の 管理者 が その アセット を 閲覧 した 際 に 任意 の JavaScript が 実行 される 可能性 が あります。セッション ハイジャック や 管理者 権限 の 奪取 に つながる おそれ が あります。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 8.7 (High) |
| CWE | CWE-79(クロスサイトスクリプティング) |
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な権限 | 低 |
| ユーザー操作 | 必要 |
影響を受けるソフトウェア
- Statamic CMS(5.x 系: 5.73.14 未満)
- Statamic CMS(6.x 系: 6.7.0 未満)
修正バージョンと回避策
- 修正バージョン: 5.73.14 または 6.7.0 以降 へ アップデート してください
- 暫定回避策: SVG ファイル の アップロード を 一時的 に 無効化 する、または Content-Security-Policy ヘッダー で インライン スクリプト の 実行 を 制限 する
関連リンク
データソース: NVD (NIST)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。