つみかさね

CVE-2026-44990

Critical(9.3)

CVE-2026-44990 — sanitize-html XSSサニタイザーバイパス(xmpタグ)

公開日: 2026-06-14データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
sanitize-htmlapostrophecms< 2.17.4

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1sanitize-htmlのバージョンを確認する(npm list sanitize-html)
  2. 22.17.3以前の場合、2.17.4以降へアップデートする
  3. 3sanitize-htmlを使用してユーザー入力をHTMLとして出力しているコードを確認する
  4. 4ApostropheCMS等sanitize-htmlに依存するパッケージも依存バージョンを確認する

影響対象

sanitize-html利用者ApostropheCMS利用者

補足

  • -デフォルト設定のdisallowedTagsMode: 'discard'使用時に影響があります
CVEsanitize-htmlXSSApostropheCMSnpm

概要

HTMLサニタイザーライブラリ sanitize-html のバージョン2.17.3以前に、<xmp> タグを利用したXSSサニタイザーバイパスが確認されました。CVSSスコアは9.3(CRITICAL)です。ApostropheCMS等、sanitize-html を使用するパッケージにも影響します。

デフォルト設定の disallowedTagsMode: 'discard' において、不許可の <xmp> タグ内に埋め込まれた攻撃者制御のコンテンツが、サニタイズ後に生きたHTMLまたはJavaScriptとして出力されます。これにより、サニタイズ済み出力をユーザーに返すアプリケーションでストアドXSSが成立する可能性があります。

CVSSベクトル

項目
スコア9.3 (CRITICAL)
攻撃元区分 (AV)ネットワーク (N)
攻撃条件の複雑さ (AC)低 (L)
必要な特権 (PR)不要 (N)
ユーザー操作 (UI)不要 (N)
CWECWE-79(クロスサイトスクリプティング)

影響を受けるソフトウェア

製品ベンダー影響バージョン
sanitize-htmlapostrophecms2.17.3 以前
apostrophe (ApostropheCMS)apostrophecmssanitize-html 2.17.3以前を含むバージョン

修正バージョンと回避策

修正バージョン: sanitize-html 2.17.4

npm update sanitize-html
# または
npm install sanitize-html@2.17.4

回避策: allowedTagsxmp が含まれていないことを確認し、disallowedTagsMode'escape' に変更することで影響を軽減できる可能性があります(完全な回避ではないため、アップデートを推奨)。

関連リンク

データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-44990
GitHub Advisory:https://github.com/apostrophecms/apostrophe/security/advisories/GHSA-rpr9-rxv7-x643
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。