プラットフォーム
php
コンポーネント
clipbucket-v5
修正版
5.5.3
CVE-2025-64336は、ClipBucket v5のManage Photos機能における保存型クロスサイトスクリプティング(XSS)脆弱性です。攻撃者は、悪意のあるJavaScriptコードを含む写真タイトルをアップロードすることで、管理者のブラウザ上でコードを実行する可能性があります。この脆弱性は、ClipBucket v5のバージョン5.5.2-#146以前に影響を与えます。バージョン5.5.2-#147へのアップデートで修正されています。
このXSS脆弱性を悪用されると、攻撃者はClipBucketの管理者のブラウザ上で任意のJavaScriptコードを実行できます。これにより、攻撃者は管理者のセッションを乗っ取り、機密情報を盗み出したり、ClipBucketの管理画面を改ざんしたりする可能性があります。特に、管理者が悪意のある写真タイトルをクリックすると、攻撃が成功する可能性が高まります。この脆弱性は、ClipBucketの管理画面のセキュリティを脅かす重大なリスクとなります。
この脆弱性は、2025年11月7日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、XSS脆弱性は一般的に悪用される可能性が高いため、早急な対応が必要です。公開された情報に基づき、攻撃者はこの脆弱性を利用してClipBucketの管理者を標的とした攻撃を仕掛ける可能性があります。
Organizations and individuals using ClipBucket v5 for video sharing, particularly those with administrative access to the platform, are at risk. Shared hosting environments where multiple users have access to the ClipBucket installation are especially vulnerable, as a compromised user could exploit this vulnerability to target other users or the hosting provider itself.
• php: Examine ClipBucket's database for photo titles containing suspicious HTML or JavaScript code. Use grep to search the photos table for patterns like <script> or onload=.
grep -i '<script' /var/www/clipbucket/db/photos.sql• generic web: Monitor access logs for requests to the Manage Photos section with unusual parameters or user agents. Look for POST requests to the photo upload endpoint with potentially malicious data. • generic web: Check the ClipBucket installation directory for any newly created files or modifications to existing files that could indicate an attacker has gained access.
disclosure
エクスプロイト状況
EPSS
0.06% (18% パーセンタイル)
CISA SSVC
この脆弱性への対応策として、まずClipBucketをバージョン5.5.2-#147にアップデートすることを推奨します。アップデートが困難な場合は、管理者が写真アップロード機能を使用する際に、写真タイトルにHTML/JavaScriptコードが含まれていないか注意深く確認してください。Webアプリケーションファイアウォール(WAF)を導入し、XSS攻撃を検知・防御するルールを設定することも有効です。また、ClipBucketのログを監視し、不審なアクティビティがないか確認することも重要です。
Actualice ClipBucket a la versión 5.5.2-#147 o superior. Esta versión corrige la vulnerabilidad XSS almacenada en la función de gestión de fotos. La actualización evitará que usuarios autenticados inyecten código malicioso a través del título de las fotos, protegiendo así la sesión del administrador.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-64336は、ClipBucket v5のManage Photos機能における保存型クロスサイトスクリプティング(XSS)脆弱性です。攻撃者は、悪意のあるJavaScriptコードを含む写真タイトルをアップロードすることで、管理者のブラウザ上でコードを実行する可能性があります。
ClipBucket v5のバージョン5.5.2-#146以前を使用している場合は、この脆弱性の影響を受けます。バージョン5.5.2-#147へのアップデートが必要です。
ClipBucketをバージョン5.5.2-#147にアップデートしてください。アップデートが困難な場合は、管理者が写真アップロード機能を使用する際に、写真タイトルにHTML/JavaScriptコードが含まれていないか注意深く確認してください。
現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、XSS脆弱性は一般的に悪用される可能性が高いため、早急な対応が必要です。
ClipBucketの公式ウェブサイトまたはセキュリティアドバイザリページで、CVE-2025-64336に関する情報を確認してください。