概要
セルフホスト型オーディオブックおよびポッドキャストサーバーである「Audiobookshelf」のモバイルアプリケーションにおいて、保存型クロスサイトスクリプティング(XSS)の脆弱性(CVE-2026-27973)が報告されました。この脆弱性は、悪意のあるライブラリメタデータがモバイルアプリの検索結果などに表示される際に、ユーザーのブラウザやWebView上で任意のJavaScriptコードが実行される可能性があるというものです。
影響範囲
Audiobookshelfモバイルアプリケーションのバージョン0.12.0-betaより前のバージョンが影響を受けます。
想定される影響
この脆弱性が悪用された場合、以下のような影響が発生する可能性があります。
- セッションハイジャックによる不正ログイン
- ユーザーの機密情報(認証情報など)の窃取
- ネイティブデバイスAPIへの不正アクセス
- その他、任意のJavaScript実行によるウェブサイトの改ざんやマルウェアのダウンロード誘導など
攻撃成立条件・悪用状況
攻撃が成立するためには、攻撃者がAudiobookshelfのライブラリ変更権限を持っている必要があります。攻撃者はこの権限を利用して、悪意のあるスクリプトを含むメタデータをライブラリに保存します。その後、被害ユーザーがモバイルアプリケーションで当該ライブラリのコンテンツを閲覧する際に、保存されたスクリプトが実行されるという流れが想定されます。現在のところ、この脆弱性が実際に悪用されたという具体的な報告は確認されていません。
推奨対策
今すぐできる対策(優先度:高)
- アプリケーションのアップデート: Audiobookshelfモバイルアプリケーションをバージョン0.12.0-beta以降に速やかにアップデートしてください。このバージョンで脆弱性は修正されています。
中長期的な対策
- 権限の最小化: ライブラリのメタデータ変更権限を持つユーザーを厳しく制限し、必要最小限の信頼できるユーザーにのみ付与してください。
- セキュリティ教育: 従業員に対し、不審なコンテンツやリンクに対する注意喚起を行い、セキュリティ意識の向上を図ってください。
- 定期的な情報収集: 利用しているソフトウェアの脆弱性情報を定期的に収集し、常に最新のセキュリティパッチを適用する運用を継続してください。
一時的な緩和策
アップデートが困難な場合、一時的な緩和策として、ライブラリメタデータの変更権限を持つユーザーを厳しく制限し、信頼できないソースからのメタデータは利用しないように徹底することが考えられます。
確認方法
現在利用しているAudiobookshelfモバイルアプリケーションのバージョンを確認してください。バージョンが0.12.0-beta未満である場合、本脆弱性の影響を受ける可能性があります。
参考情報
- CVE-2026-27973 詳細情報: https://cvefeed.io/vuln/detail/CVE-2026-27973