概要
Craft CMSの特定のバージョンにおいて、格納型クロスサイトスクリプティング(XSS)の脆弱性(CVE-2026-27126)が報告されました。
この脆弱性は、editableTable.twigコンポーネントで「HTML」カラムタイプを使用する際に、入力値のサニタイズが不十分であることに起因します。
結果として、攻撃者は悪意のあるJavaScriptコードをデータベースに保存し、他のユーザーがそのコードを含むページを閲覧した際に、ブラウザ上で任意のスクリプトを実行させる可能性があります。
影響範囲
- Craft CMS バージョン 4.5.0-RC1 から 4.16.18
- Craft CMS バージョン 5.0.0-RC1 から 5.8.22
この脆弱性は、バージョン 4.16.19 および 5.8.23 で修正されています。
想定される影響
攻撃が成功した場合、攻撃者は閲覧者のブラウザ上で任意のJavaScriptコードを実行できる可能性があります。
これにより、セッションハイジャック、情報の窃取(Cookieなど)、ウェブサイトの改ざん、フィッシング攻撃への悪用など、様々なセキュリティ上の脅威が発生する恐れがあります。
攻撃成立条件・悪用状況
この脆弱性を悪用するには、以下の条件が満たされる必要があると報告されています。
- 攻撃者が管理者アカウントを保有していること。
- 本番環境において、Craft CMSのセキュリティ推奨事項に反して
allowAdminChanges設定が有効になっていること。
現在のところ、この脆弱性が実際に悪用されたという情報は確認されていません。
推奨対策
最優先で実施すべき対策
- Craft CMSのアップデート: 脆弱性が修正されたバージョン 4.16.19 または 5.8.23 以降へ速やかにアップデートしてください。
中長期的な対策
- セキュリティ設定の確認: 本番環境において、
allowAdminChanges設定が無効になっていることを確認してください。これはCraft CMSのセキュリティ推奨事項であり、管理者による変更を制限することで、本脆弱性のようなリスクを軽減できます。
一時的な緩和策
allowAdminChanges設定を無効にすることで、本脆弱性の悪用条件の一つが満たされなくなるため、一時的な緩和策として機能する可能性があります。ただし、根本的な解決にはアップデートが必要です。
確認方法
現在利用しているCraft CMSのバージョンを確認し、影響を受けるバージョンに該当しないかを確認してください。
バージョンが4.16.19または5.8.23以降であれば、この脆弱性に対しては修正済みです。
参考情報
- CVEfeed.io: CVE-2026-27126
https://cvefeed.io/vuln/detail/CVE-2026-27126