プラットフォーム
ruby
コンポーネント
decidim-core
修正版
0.31.1
0.30.6
0.31.1
CVE-2026-23891は、オープンソースの市民エンゲージメントプラットフォームであるdecidim-coreにおけるクロスサイトスクリプティング(XSS)脆弱性です。この脆弱性は、ユーザー名フィールドに悪意のあるコードが保存され、他のユーザーがそのページを閲覧する際に実行される可能性があります。影響を受けるバージョンは0.31.0.rc2以前ですが、バージョン0.31.1で修正されています。
このXSS脆弱性は、攻撃者が任意のJavaScriptコードをdecidim-coreのコンテキストで実行できることを意味します。攻撃者は、この脆弱性を悪用して、ユーザーのセッションを乗っ取ったり、機密情報を盗んだり、ウェブサイトを改ざんしたりする可能性があります。特に、コメントページを閲覧するすべてのユーザーが影響を受けるため、潜在的な被害範囲は広範です。この脆弱性は、OWASP ASVS v4.0.3-5.1.3に準拠しており、深刻なセキュリティリスクをもたらします。
この脆弱性は、スイスのローザンヌ市が資金提供した[octree](https://octree.ch/)と[Secu Labs](https://seculabs.ch/)によるセキュリティ監査で発見されました。現時点では、この脆弱性を悪用した具体的な事例は報告されていませんが、XSS脆弱性は一般的に悪用されやすい脆弱性であるため、注意が必要です。CISA KEVリストへの登録状況は不明です。
エクスプロイト状況
EPSS
0.07% (21% パーセンタイル)
CISA SSVC
現時点では、この脆弱性に対する直接的な回避策は提供されていません。推奨される対応は、decidim-coreをバージョン0.31.1にアップグレードすることです。アップグレードがシステムに影響を与える場合は、バックアップを作成し、ロールバック計画を準備しておくことをお勧めします。Webアプリケーションファイアウォール(WAF)やリバースプロキシを使用して、XSS攻撃を軽減することも可能です。ただし、WAFの設定は慎重に行う必要があります。
Decidimをバージョン0.30.5以降(0.31.1)にアップデートすることで、XSSの脆弱性を軽減できます。このアップデートは、ユーザー名の入力フィールドを適切にサニタイズすることで問題を修正し、悪意のあるコードの実行を防ぎます。詳細なアップデート手順については、リリースノートを参照してください。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-23891は、decidim-coreのユーザー名フィールドに存在するクロスサイトスクリプティング(XSS)脆弱性です。攻撃者はこの脆弱性を悪用して、悪意のあるコードを実行できます。
decidim-coreのバージョンが0.31.0.rc2以前を使用している場合は、影響を受けます。バージョン0.31.1にアップグレードすることで修正されます。
decidim-coreをバージョン0.31.1にアップグレードしてください。アップグレードがシステムに影響を与える場合は、事前にバックアップを作成し、ロールバック計画を準備してください。
現時点では、CVE-2026-23891を悪用した具体的な事例は報告されていません。
decidim-coreの公式アドバイザリは、今後の発表をお待ちください。セキュリティ監査の報告書は[octree](https://octree.ch/)および[Secu Labs](https://seculabs.ch/)のウェブサイトで確認できます。
Gemfile.lock ファイルをアップロードすると、影響の有無を即座にお知らせします。