つみかさね

CVE-2026-41067

Medium(6.1)

CVE-2026-41067 — Astro define:vars不完全サニタイズによるXSS

公開日: 2026-04-23データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
astrowithastro< 6.1.6

対応ガイド

medium|任意セキュリティ修正影響: 限定的

推奨アクション

  1. 1Astroを利用しているか確認する
  2. 2define:varsでユーザー入力を使用しているか確認する
  3. 3Astro 6.1.6以降へアップデートする

影響対象

Astro利用者

補足

  • -define:varsを使用していない場合は影響を受けません

関連するリリース情報

この脆弱性に関連するフレームワークの最新リリース・修正バージョンを確認できます。

A
Astro のリリース情報 →
CVEAstroXSSnpm

概要

Astroのサーバーサイドレンダリングパイプラインにおいて、defineScriptVars 関数が define:vars ディレクティブ経由でインラインの <script> タグに値を注入する際、大文字小文字を区別する正規表現 /<\/script>/g でサニタイズしています。HTMLパーサーは </Script></script > なども終了タグとして認識するため、サニタイズをバイパスしてXSSが可能です。

CVSSベクトル

項目
スコア6.1(Medium)
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な特権なし
ユーザー関与

影響を受けるソフトウェア

製品ベンダー影響バージョン
astrowithastro< 6.1.6

修正バージョンと回避策

  • 修正バージョン: Astro 6.1.6
  • define:vars でユーザー入力を注入している場合は注意が必要です

関連リンク

データソース: NVD (NIST), GitHub Advisory Database, OSV (Google) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

GHSA:https://github.com/withastro/astro/security/advisories/GHSA-j687-52p2-xcff
NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-41067
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。