概要
自己ホスト型オーディオブック・ポッドキャストサーバーであるAudiobookshelfのモバイルアプリケーションにおいて、クロスサイトスクリプティング(XSS)の脆弱性(CVE-2026-27974)が報告されました。この脆弱性は、悪意のあるライブラリメタデータを利用して任意のJavaScriptコードを実行させるものです。
影響範囲
- Audiobookshelfモバイルアプリケーションのバージョン0.12.0-betaより前のバージョンが影響を受けます。
想定される影響
攻撃が成功した場合、以下のような影響が想定されます。
- 被害者のWebViews内で任意のJavaScriptコードが実行される可能性があります。
- セッションハイジャックにより、ユーザーセッションが乗っ取られる恐れがあります。
- デバイスからのデータ窃取(データエクスフィルトレーション)が行われる可能性があります。
- ネイティブデバイスAPIへの不正アクセスを許してしまう可能性があります。
攻撃成立条件・悪用状況
この脆弱性を悪用するには、攻撃者は以下のいずれかの条件を満たす必要があると報告されています。
- Audiobookshelfライブラリの変更権限を持っていること。
- 悪意のあるポッドキャストRSSフィードを制御していること。
現在のところ、この脆弱性が実際に悪用されたという具体的な報告は確認されていません。
推奨対策
今すぐできる対策(最優先)
- Audiobookshelfモバイルアプリケーションのアップデート: 脆弱性が修正されたバージョン0.12.0-beta以降に速やかにアップデートすることを強く推奨します。
中長期的な対策
- アクセス権限の厳格化: Audiobookshelfサーバーのライブラリ変更権限を持つユーザーを最小限に制限し、信頼できるユーザーのみに付与するよう見直してください。
- セキュリティ情報の継続的な収集: 利用しているソフトウェアのセキュリティ情報を定期的に確認し、常に最新の状態を保つよう努めてください。
一時的な緩和策
現時点では、バージョンアップ以外の明確な一時的な緩和策は報告されていません。可能な限り速やかに推奨対策を実施してください。
確認方法
現在利用しているAudiobookshelfモバイルアプリケーションのバージョンを確認し、0.12.0-betaより前のバージョンである場合は、脆弱性の影響を受ける可能性があります。