つみかさね

CVE-2026-33334

Critical(9.6)

CVE-2026-33334 — Vikunja Desktop Electron nodeIntegration による RCE

公開日: 2026-03-28データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Vikunja DesktopVikunja0.21.0 〜 < 2.2.0
CVEVikunjaElectronRCE

概要

Vikunja Desktop の Electron ラッパー が nodeIntegration: truecontextIsolationsandbox なし で 有効化 して います。フロントエンド に XSS が あれ ば 自動的 に Node.js API へ の アクセス が 可能 と なり、任意 コード 実行 に エスカレーション します。現在 および 将来 の XSS 脆弱性 が すべて RCE に 直結 する 深刻 な 問題 です。バージョン 2.2.0 で contextIsolationsandbox が 有効化 され 修正 されました。

CVSS ベクトル

項目
CVSS スコア9.6(Critical)
攻撃 元 区分ネットワーク
攻撃 条件 の 複雑 さ
必要 な 特権 レベル不要
ユーザー 関与必要
CWECWE-94(Code Injection)、CWE-269(Improper Privilege Management)、CWE-79(XSS)

影響 を 受ける ソフトウェア

製品影響 バージョン修正 バージョン
Vikunja Desktop0.21.0 〜 2.2.0 より 前2.2.0

修正 バージョン と 回避策

  • 修正 バージョン: Vikunja Desktop 2.2.0
  • Electron の contextIsolationsandbox が 有効化 され、レンダラー プロセス から Node.js API へ の 直接 アクセス が 遮断 されました
  • 速やか に 2.2.0 以降 へ の アップデート を 推奨 します

関連 リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-33336Vikunja Electron navigation RCECVSS 8.8CVE-2026-33335Vikunja Electron arbitrary URI schemeCVSS 8

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-33334
GHSA:https://github.com/go-vikunja/vikunja/security/advisories/GHSA-xh67-63q3-hf7g
Changelog:https://vikunja.io/changelog/vikunja-v2.2.0-was-released
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。