プラットフォーム
nodejs
コンポーネント
node.js
修正版
0.21.1
2.2.3
Vikunjaは、オープンソースの自己ホスト型タスク管理プラットフォームです。バージョン0.21.0から2.2.0未満のVikunja Desktop Electronでは、レンダラープロセスでnodeIntegrationが有効になっていますが、contextIsolationやsandboxが設定されていません。これにより、Vikunja Webフロントエンドに存在する、または将来発生する可能性のあるクロスサイトスクリプティング(XSS)脆弱性が、被害者のマシン上でのリモートコード実行に直接悪用される可能性があります。バージョン2.2.0でこの問題が修正されました。
この脆弱性を悪用されると、攻撃者はVikunja WebフロントエンドにXSSペイロードを注入できます。nodeIntegrationが有効になっているため、注入されたスクリプトはNode.js APIにアクセスでき、システム上で任意のコードを実行できるようになります。これにより、機密情報の窃取、マルウェアのインストール、システムの制御奪取など、深刻な被害が発生する可能性があります。特に、Vikunjaを共有ホスティング環境で利用している場合、他のユーザーのシステムも危険にさらされる可能性があります。この脆弱性は、ElectronアプリケーションのセキュリティにおけるcontextIsolationとsandboxの重要性を示しています。
この脆弱性は、2026年3月24日に公開されました。現時点では、公開されているPoCは確認されていませんが、CVSSスコアがCRITICALであるため、悪用される可能性は高いと考えられます。Vikunjaの利用者は、早急な対応を検討する必要があります。CISA KEVリストへの登録状況は不明です。
Users who rely on Vikunja Desktop for task management, particularly those running versions 0.21.0 through 2.2.2, are at significant risk. This includes individuals and organizations using Vikunja for personal or professional task tracking. Shared hosting environments where Vikunja Desktop is installed could expose multiple users to the vulnerability if the application is not properly secured.
• windows / supply-chain: Monitor Vikunja Desktop processes for unusual network activity or unexpected file modifications. Use Windows Defender to scan for suspicious files or registry keys associated with Vikunja.
Get-Process -Name VikunjaDesktop | Select-Object -ExpandProperty Path• linux / server: Monitor Vikunja Desktop application logs for signs of XSS attempts or unusual Node.js activity. Use lsof to identify open files and network connections associated with the Vikunja Desktop process.
lsof -p $(pidof VikunjaDesktop)• generic web: If Vikunja is accessible via a web interface, perform regular security scans for XSS vulnerabilities. Review access and error logs for suspicious requests or payloads.
grep -i 'script' /var/log/apache2/access.logdisclosure
patch
エクスプロイト状況
EPSS
0.14% (34% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への対応策として、まずVikunja Desktop Electronをバージョン2.2.0以降にアップデートすることを強く推奨します。アップデートが困難な場合は、一時的な回避策として、Webフロントエンドの入力検証を強化し、XSS攻撃を防ぐためのWAF(Web Application Firewall)を導入することを検討してください。また、Vikunjaのセキュリティ設定を見直し、不要なNode.js APIへのアクセスを制限することも有効です。アップデート後、Vikunjaのバージョンを確認し、脆弱性が修正されていることを確認してください。
Vikunja Desktopをバージョン2.2.0以降にアップデートしてください。このバージョンは、XSS経由でのリモートコード実行を可能にする脆弱性を修正しています。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-33334は、Vikunja Desktop Electronのバージョン0.21.0~2.2.2に存在するクロスサイトスクリプティング(XSS)脆弱性です。この脆弱性を悪用されると、攻撃者はシステム上で任意のコードを実行できるようになります。
はい、Vikunja Desktop Electronのバージョン0.21.0から2.2.2を使用している場合、この脆弱性による影響を受ける可能性があります。攻撃者は、WebフロントエンドのXSSを悪用して、システム上で任意のコードを実行する可能性があります。
Vikunja Desktop Electronをバージョン2.2.0以降にアップデートしてください。アップデートが困難な場合は、一時的な回避策として、Webフロントエンドの入力検証を強化し、WAFを導入することを検討してください。
現時点では、公開されているPoCは確認されていませんが、CVSSスコアがCRITICALであるため、悪用される可能性は高いと考えられます。
Vikunjaの公式アドバイザリは、VikunjaのウェブサイトまたはGitHubリポジトリで確認できます。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。