CRITICALCVE-2026-21855CVSS 9.3

Tarkov Data Manager には認証されていない Reflected XSS が存在する

Q: CVE-2026-21855 — XSS in Tarkov Data Managerとは何ですか？

CVE-2026-21855は、Tarkov Data Managerのバージョン2.0.0以前に存在する、悪意のあるURLを介してJavaScriptコードを実行できる反映型クロスサイトスクリプティング(XSS)脆弱性です。

Q: CVE-2026-21855 in Tarkov Data Managerに影響を受けますか？

Tarkov Data Managerのバージョンが2.0.0以前の場合は、影響を受けます。バージョン2.0.1以降にアップデートすることで、この脆弱性は修正されます。

Q: CVE-2026-21855 in Tarkov Data Managerを修正するにはどうすればよいですか？

Tarkov Data Managerをバージョン2.0.1以降にアップデートしてください。アップデートが困難な場合は、一時的な回避策として、信頼できないソースからのURLクリックを避けてください。

Q: CVE-2026-21855に関するTarkov Data Managerの公式アドバイザリはどこで入手できますか？

Tarkov Data Managerの公式ウェブサイトまたは関連するセキュリティ情報源でアドバイザリをご確認ください。

プラットフォーム

other

コンポーネント

tarkov-data-manager

修正版

2.0.1

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-21855は、Tarkov Data Managerにおける反映型クロスサイトスクリプティング(XSS)脆弱性です。この脆弱性は、攻撃者が悪意のあるURLを介して、被害者のブラウザセッション内で任意のJavaScriptコードを実行することを可能にします。影響を受けるバージョンは2.0.0以前であり、2.0.1へのアップデートで修正されました。

影響と攻撃シナリオ

このXSS脆弱性を悪用されると、攻撃者は被害者のブラウザ内で任意のJavaScriptコードを実行できます。これにより、機密情報の窃取（ログイン認証情報、個人情報など）、セッションの乗っ取り、悪意のあるWebサイトへのリダイレクト、さらにはマルウェアのダウンロードと実行といった攻撃が可能になります。Tarkov Data Managerの利用者は、この脆弱性によって、アカウントの乗っ取りや、個人情報の漏洩、さらにはシステムへの不正アクセスといった深刻な被害を受ける可能性があります。攻撃者は、Tarkov Data Managerの機能を利用して、被害者を悪意のあるURLに誘導し、JavaScriptコードを実行させる可能性があります。

悪用の状況

このCVEは2026年1月7日に公開されました。現時点では、公開されているPoCは確認されていませんが、XSS脆弱性は一般的に悪用される可能性が高いため、注意が必要です。CISA KEVへの登録状況は不明です。

リスク対象者翻訳中…

Users of Tarkov Data Manager, particularly those running versions prior to 2.0.1, are at risk. This includes individuals who rely on the tool for managing their Tarkov item data and are susceptible to attacks through malicious URLs.

検出手順翻訳中…

• windows / supply-chain: Monitor for suspicious PowerShell commands related to Tarkov Data Manager. Check Autoruns for unusual entries.

Get-Process -Name TarkovDataManager | Select-Object -ExpandProperty Path

• generic web: Examine access and error logs for requests containing suspicious URL parameters that might be attempting to inject JavaScript code.

grep -i 'script' /var/log/apache2/access.log

攻撃タイムライン

2025-01-02Patch
patch
2026-01-07Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.06% (17% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントtarkov-data-manager

ベンダーthe-hideout

影響範囲修正版

<= 2.0.0 – <= 2.0.02.0.1

弱点分類 (CWE)

CWE-79

タイムライン

予約済み2026-01-05
公開日2026-01-07
EPSS 更新日2026-03-23

緩和策と回避策

この脆弱性への対応策として、Tarkov Data Managerをバージョン2.0.1以降にアップデートすることを強く推奨します。アップデートが困難な場合は、一時的な回避策として、信頼できないソースからのURLクリックを避け、ブラウザのセキュリティ設定を強化することを検討してください。また、Webアプリケーションファイアウォール(WAF)を導入し、XSS攻撃を検知・防御することも有効です。アップデート後、Tarkov Data Managerの動作を確認し、XSS攻撃の兆候がないことを確認してください。

修正方法

2.0.0 以降のバージョンにアップデートしてください。この脆弱性は 2025年1月2日のコミットで修正されました。詳細については、GitHub のセキュリティアドバイザリを参照してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-21855 — XSS in Tarkov Data Managerとは何ですか？