プラットフォーム
nodejs
コンポーネント
node.js
修正版
4.28.1
2.17.2
2.17.3
CVE-2026-40186 は、Node.js の sanitize-html パッケージにおける脆弱性です。この脆弱性は、特定の条件下で HTML サニタイズ処理を回避し、クロスサイトスクリプティング (XSS) 攻撃を可能にする可能性があります。ApostropheCMS のバージョン 4.28.0 は、この脆弱性を含む sanitize-html のバージョンに依存しているため影響を受けます。sanitize-html 2.17.2 以降にアップデートすることで修正されています。
CVE-2026-40186 は、ApostropheCMS が sanitize-html ライブラリに依存していることによって影響を受けます。sanitize-html のバージョン 2.17.1 に導入された回帰により、nonTextTagsArray に含まれていない要素(特に textarea および option)内のテキストに対する allowedTags の適用が回避されます。つまり、攻撃者は通常保護されているべきリッチテキストフィールド内に悪意のある HTML コードを注入できる可能性があります。この脆弱性は、sanitize-html コード内の htmlparser2 による HTML デコードに関する誤った仮定が原因です。ApostropheCMS のバージョン 4.28.0 は、この依存関係により影響を受けます。HTML 注入により、ユーザーのブラウザでスクリプトが実行されたり、機密情報が盗まれたり、ウェブサイトのコンテンツが変更されたりする可能性があります。
攻撃者は、フォームまたはコンテンツエディターを介して textarea または option フィールドに悪意のある HTML コードを注入することにより、この脆弱性を悪用する可能性があります。注入された HTML コードが適切にサニタイズされない場合、ユーザーのブラウザによってレンダリングされ、スクリプトの実行または悪意のあるコンテンツの注入が可能になる可能性があります。悪用の可能性は、ウェブサイトの構成と、textarea または option フィールドを使用するフォームまたはコンテンツエディターの存在に依存します。この脆弱性は、機密情報を処理したり、多数のユーザーに使用されたりするウェブサイトにとって特に懸念されます。
Organizations using ApostropheCMS versions prior to 4.28.0 are at risk. This includes websites and applications built on ApostropheCMS that handle user-generated content, particularly those that rely on textarea and option elements for input. Shared hosting environments utilizing ApostropheCMS are also at increased risk due to the potential for cross-tenant exploitation.
• nodejs / server:
npm list sanitize-html• nodejs / server:
npm audit sanitize-html• generic web: Inspect ApostropheCMS templates for unsanitized user input within textarea and option elements. Look for patterns that bypass HTML escaping. • generic web: Review access logs for unusual JavaScript execution patterns or requests containing suspicious characters within form fields.
disclosure
エクスプロイト状況
EPSS
0.01% (1% パーセンタイル)
CISA SSVC
CVSS ベクトル
推奨される解決策は、ApostropheCMS をバージョン 4.28.1 以降に更新するか、sanitize-html ライブラリをバージョン 2.17.2 以降に更新することです。この更新により、allowedTags の制限を回避できる回帰が修正されます。更新が適用されるまで、追加の軽減策として、サーバー側のすべてのユーザー入力を厳密に検証し、信頼できないソースからのスクリプトの実行を制限するためにコンテンツセキュリティポリシー (CSP) を実装することを推奨します。ウェブサイトのセキュリティを確保するために、ApostropheCMS のすべての依存関係をレビューおよび更新することが重要です。更新後には、徹底的なテストを実施して、脆弱性が修正され、ウェブサイトが正しく機能することを確認することを推奨します。
Actualice el paquete sanitize-html a la versión 2.17.2 o superior. Esto corrige un problema que permite la inyección de HTML arbitrario a través de la decodificación de entidades, lo que podría resultar en ataques de Cross-Site Scripting (XSS). Verifique también que ApostropheCMS esté actualizado a la versión 4.29.0 o superior.
脆弱性分析と重要アラートをメールでお届けします。
ApostropheCMS は、Node.js ベースのオープンソースコンテンツ管理システム (CMS) です。
更新は、攻撃者があなたのウェブサイトに悪意のあるコードを注入することを可能にするセキュリティ脆弱性を修正します。
sanitize-html は、HTML コードをクリーンアップおよびサニタイズするために使用される Node.js ライブラリです。
厳密な入力検証を適用し、コンテンツセキュリティポリシー (CSP) を実装するなど、追加の軽減策を適用してください。
ApostropheCMS の公式ドキュメントと、National Vulnerability Database (NVD) の CVE-2026-40186 ページを参照してください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。