MEDIUMCVE-2026-39400

Cronicle のジョブ HTML/テーブル出力による Stored XSS

Q: CVE-2026-39400 とは何ですか？（Cronicle の XSS）

これは Cronicle のセキュリティ脆弱性のためのユニークな識別子です。

Q: Cronicle の CVE-2026-39400 による影響を受けていますか？

すぐにバージョン 0.9.111 以降に更新してください。

Q: Cronicle の CVE-2026-39400 を修正するにはどうすればよいですか？

0.9.111 より前のバージョンを使用している場合は、脆弱です。

Q: CVE-2026-39400 は積極的に悪用されていますか？

はい、ユーザー権限をレビューし、コンテンツセキュリティポリシー (CSP) の実装を検討してください。

Q: CVE-2026-39400 に関する Cronicle の公式アドバイザリはどこで確認できますか？

Cronicle の公式ドキュメントとセキュリティ情報源を参照してください。

プラットフォーム

javascript

コンポーネント

cronicle

修正版

0.9.112

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

あなたの言語に翻訳中…

CVE-2026-39400 affects Cronicle, a multi-server task scheduler with a web-based UI. This vulnerability allows a privileged, non-admin user to inject arbitrary JavaScript code into job output fields. Successful exploitation could lead to malicious script execution within the user's browser context, potentially compromising sensitive data or system functionality. The vulnerability impacts Cronicle versions 0.0.0 up to, but not including, version 0.9.111; a patch is available in version 0.9.111.

影響と攻撃シナリオ

CVE-2026-39400 は、ウェブベースのフロントエンド UI を備えたマルチサーバータスクスケジューラおよびランナーである Cronicle に影響を与えます。この脆弱性は、Cronicle がタスク出力データを処理する方法にあります。0.9.111 リリース前のバージョンでは、'createevents' および 'runevents' 権限を持つ非管理者ユーザーは、'html.content'、'html.title'、'table.header'、'table.rows'、'table.caption' などのジョブ出力フィールドを介して任意の JavaScript コードを挿入できます。Cronicle は、このデータを適切にサニタイズせずに保存し、クライアント側の Web アプリケーションは 'innerHTML' を使用して「ジョブ詳細」ページにこのコンテンツをレンダリングします。これにより、攻撃者はユーザーのブラウザで悪意のある JavaScript コードを実行でき、アプリケーションおよび関連データの機密性、完全性、および可用性が損なわれる可能性があります。影響は大きく、攻撃者は認証情報を盗んだり、データを変更したり、影響を受けたユーザーを装って他の悪意のあるアクションを実行する可能性があります。

悪用の状況

'createevents' および 'runevents' 権限を持つ Cronicle の攻撃者は、言及された出力フィールドに悪意のある JavaScript コードを含むタスクを作成することで、この脆弱性を悪用できます。このタスクを実行すると、JavaScript コードは「ジョブ詳細」ページに挿入され、ページを閲覧しているユーザーのブラウザで実行されます。悪用の容易さは、Cronicle の入力検証の欠如に由来し、これによりコードの直接挿入が可能になります。悪用の成功は、攻撃者が必要な権限を取得できることと、脆弱なユーザーが「ジョブ詳細」ページを閲覧していることによって決まります。

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

EPSS

0.05% (16% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

影響を受けるソフトウェア

コンポーネントcronicle

ベンダーjhuckaby

影響範囲修正版

< 0.9.111 – < 0.9.1110.9.112

弱点分類 (CWE)

CWE-79

タイムライン

予約済み2026-04-06
公開日2026-04-07
更新日2026-04-15
EPSS 更新日2026-04-15

緩和策と回避策

CVE-2026-39400 の修正策は、Cronicle をバージョン 0.9.111 以降に更新することです。このバージョンには、ブラウザでレンダリングする前にタスク出力データをサニタイズする修正が含まれています。更新に加えて、非管理者ユーザーの権限をレビューおよび制限し、タスクを実行するために必要な権限のみを付与することをお勧めします。Web サーバーでコンテンツセキュリティポリシー (CSP) を実装すると、スクリプトをロードできるソースを制限することで、追加の保護レイヤーを提供できます。Cronicle ログを不審なアクティビティについて監視することも、潜在的な攻撃を検出し、対応するのに役立ちます。この脆弱性を軽減するための最も重要で効果的な対策は、更新です。

修正方法翻訳中…

Actualice Cronicle a la versión 0.9.111 o posterior para mitigar la vulnerabilidad de XSS. Esta versión corrige el problema de sanitización de datos en los campos de salida de los trabajos, evitando la inyección de código JavaScript malicioso.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-39400 とは何ですか？（Cronicle の XSS）