概要
セルフホスト型オーディオブックおよびポッドキャストサーバーであるAudiobookshelfのウェブアプリケーションにおいて、保存型クロスサイトスクリプティング(XSS)の脆弱性(CVE-2026-27963)が報告されました。この脆弱性は、バージョン2.32.0より前のAudiobookshelfに存在し、悪意のあるライブラリメタデータを利用することで、任意のJavaScriptコードが実行される可能性があります。
影響範囲
Audiobookshelfのバージョン2.32.0より前のウェブアプリケーションが影響を受けます。
想定される影響
この脆弱性が悪用された場合、ライブラリの変更権限を持つ攻撃者によって、被害ユーザーのブラウザ上で任意のJavaScriptコードが実行される可能性があります。これにより、以下のような影響が考えられます。
- ユーザーセッションのハイジャック
- 機密データの窃取
- ウェブサイトの改ざん
攻撃成立条件・悪用状況
攻撃を成立させるためには、攻撃者がAudiobookshelfのライブラリ変更権限を持っている必要があります。この権限を利用して、悪意のあるスクリプトを含むライブラリメタデータを挿入することで、脆弱性が悪用されるとされています。現時点での具体的な悪用状況については、公開情報からは確認されていません。
推奨対策
今すぐできる対策
- Audiobookshelfのアップデート: 脆弱性が修正されたバージョン2.32.0以降へ速やかにアップデートしてください。これが最も効果的かつ推奨される対策です。
中長期的な対策
- アクセス権限の厳格化: Audiobookshelfへのアクセス権限、特にライブラリの変更権限を持つユーザーを最小限に制限し、不要な権限は付与しないように管理を徹底してください。
- セキュリティ情報の継続的な収集: 利用しているソフトウェアの脆弱性情報を常に収集し、最新のセキュリティパッチが公開された際には速やかに適用する体制を構築してください。
一時的な緩和策
本脆弱性に対する一時的な緩和策として、ライブラリメタデータの入力内容を厳しくチェックし、不審なスクリプトが含まれていないか確認することが考えられます。しかし、根本的な解決には製品のアップデートが不可欠です。
確認方法
現在ご利用中のAudiobookshelfのバージョンを確認してください。もしバージョンが2.32.0未満である場合、本脆弱性の影響を受ける可能性があります。