概要
プライバシー重視のパスワードマネージャーであるAliasVaultのWebクライアントにおいて、格納型クロスサイトスクリプティング(XSS)の脆弱性(CVE-2026-26266)が報告されました。この脆弱性は、AliasVault Web Clientのバージョン0.25.3およびそれ以前のメールレンダリング機能に存在します。エイリアスで受信したメールを表示する際、HTMLコンテンツがsrcdocを使用するiframe内でレンダリングされますが、この際にオリジン分離が適切に提供されていなかったことが原因とされています。これにより、攻撃者が細工されたHTMLメールを送信し、被害者がWebクライアントでそのメールを閲覧すると、悪意のあるJavaScriptコードがアプリケーションと同じオリジンで実行される可能性があります。この脆弱性は、バージョン0.26.0で修正されています。
影響範囲
- AliasVault Web Client バージョン 0.25.3 およびそれ以前
想定される影響
この脆弱性が悪用された場合、以下のような影響が想定されます。
- 攻撃者が細工されたHTMLメールをAliasVaultのメールエイリアスに送信し、被害者がWebクライアントでそのメールを閲覧すると、悪意のあるJavaScriptコードが実行される可能性があります。
- 実行されたスクリプトは、アプリケーションと同じオリジンで動作するため、セッションハイジャック、機密情報の窃取(例: ユーザーのパスワードマネージャーデータへのアクセス)、Webサイトの改ざん、マルウェアのダウンロード誘導など、様々な攻撃につながる可能性があります。
- ユーザーのプライバシーが侵害されるリスクがあります。
攻撃成立条件・悪用状況
攻撃を成立させるためには、以下の条件が必要とされています。
- 攻撃者は、悪意のあるJavaScriptコードを含むHTMLメールを作成する必要があります。
- 作成したメールを、脆弱性のあるAliasVault Web Clientを使用しているユーザーのメールエイリアス宛に送信する必要があります。
- 被害者がAliasVault Webクライアントでそのメールを開封・閲覧することで、脆弱性が悪用され、スクリプトが実行される可能性があります。
現在のところ、この脆弱性の悪用状況に関する具体的な情報は報告されていませんが、潜在的なリスクは高いと考えられます。
推奨対策
【最優先】速やかなアップデートの適用
- AliasVault Web Client をバージョン 0.26.0 以降にアップデートしてください。このバージョンで脆弱性が修正されています。
【中長期】セキュリティパッチの継続的な適用
- 今後もベンダーから提供されるセキュリティパッチやアップデート情報を定期的に確認し、速やかに適用することを推奨します。
一時的な緩和策
- Webクライアントでのメール閲覧を一時的に制限するか、信頼できない送信元からのメールは開かないよう注意喚起を行うことが考えられます。ただし、これは根本的な解決策ではなく、速やかなアップデートが最も効果的な対策です。
確認方法
- 現在ご使用のAliasVault Web Clientのバージョンを確認し、0.25.3以前である場合は、本脆弱性の影響を受ける可能性があります。
参考情報
- CVE-2026-26266 詳細情報: https://cvefeed.io/vuln/detail/CVE-2026-26266