プラットフォーム
javascript
コンポーネント
homarr
修正版
1.57.1
CVE-2026-33510 は、オープンソースダッシュボード Homarr の /auth/login ページに存在する DOM ベースのクロスサイトスクリプティング (XSS) 脆弱性です。この脆弱性は、認証済みユーザーが攻撃者によって作成された悪意のあるリンクをクリックした際に、クライアントサイドで任意の JavaScript コードが実行されることを可能にします。影響を受けるバージョンは 0.0.0 から 1.57.0 未満です。バージョン 1.57.0 でこの問題は修正されています。
CVE-2026-33510 は、1.57.0 以前のバージョンのオープンソースダッシュボード Homarr に影響を与えます。/auth/login ページで DOM ベースのクロスサイトスクリプティング (XSS) の脆弱性が発見されました。アプリケーションは、redirect と router.push に渡される URL パラメータ (callbackUrl) を不適切に信頼しています。攻撃者は、認証されたユーザーが開くとクライアント側のリダイレクトを実行し、ブラウザのコンテキストで任意の JavaScript コードを実行する悪意のあるリンクを作成できます。これにより、認証情報の窃盗、内部ネットワークへのアクセス、またはユーザーインターフェースの操作につながる可能性があります。
この脆弱性は、操作された callbackUrl パラメータを含む悪意のあるリンクを作成することで悪用されます。このリンクは、電子メール、ソーシャルメディア、またはその他の通信チャネルを通じて配布できます。認証された Homarr ユーザーがリンクをクリックすると、ブラウザは callbackUrl パラメータに挿入された悪意のある JavaScript コードを実行します。ユーザーの認証により、スクリプトはユーザーの権限で実行できるようになり、機密情報へのアクセスや許可されていないアクションが可能になる可能性があります。
Organizations and individuals using Homarr versions 0.0.0 through 1.57.0 are at risk. This includes those deploying Homarr in production environments, development environments, or testing environments. Shared hosting environments where Homarr is installed are particularly vulnerable, as a compromised account on one site could potentially impact other sites on the same server.
• javascript / web: Inspect browser developer console for unexpected JavaScript execution upon accessing /auth/login.
• generic web: Use curl/wget to test the /auth/login endpoint with a malicious callbackUrl parameter (e.g., curl 'http://your-homarr-instance/auth/login?callbackUrl=<script>alert(1)</script>').
• generic web: Examine access/error logs for suspicious requests to /auth/login with unusual URL parameters.
disclosure
エクスプロイト状況
EPSS
0.05% (15% パーセンタイル)
CISA SSVC
この脆弱性の解決策は、Homarr をバージョン 1.57.0 以降にアップデートすることです。このバージョンは、リダイレクトおよびルーティング関数で使用する前に、callbackUrl パラメータを適切に検証およびサニタイズすることで問題を修正します。Homarr のユーザーは、悪用のリスクを軽減するために、できるだけ早くこのアップデートを適用することを強くお勧めします。さらに、サーバーログを不審なアクティビティについて確認し、Content Security Policy (CSP) などの Web セキュリティポリシーを実装することを検討して、XSS 攻撃の潜在的な影響を軽減することをお勧めします。
Actualice a la versión 1.57.0 o posterior para mitigar la vulnerabilidad de XSS. Esta actualización corrige la forma en que la aplicación maneja la URL de redirección, evitando la ejecución de código JavaScript malicioso.
脆弱性分析と重要アラートをメールでお届けします。
XSS (クロスサイトスクリプティング) は、攻撃者が他のユーザーが閲覧する Web ページに悪意のあるスクリプトを挿入できる Web セキュリティの脆弱性の種類です。
1.57.0 より前のバージョンの Homarr を使用している場合は、この脆弱性の影響を受けます。使用している Homarr のバージョンを確認し、すぐにアップデートしてください。
パスワードをすぐに変更してください。特に、他の Web サイトでも同じパスワードを使用している場合はそうです。アカウントを不審なアクティビティについて監視し、サイバーセキュリティの専門家に相談することを検討してください。
XSS を検出できる脆弱性スキャンツールがいくつかあります。また、手動テストを実行して潜在的な弱点を特定することもできます。
CSP (コンテンツセキュリティポリシー) は、ブラウザがロードすることを許可されているリソースを制御することで、XSS 攻撃を防ぐのに役立つセキュリティレイヤーです。CSP を実装することで、悪用のリスクを大幅に軽減できます。
CVSS ベクトル