無料スキャン
分析待ちCVE-2026-42157

CVE-2026-42157: Stored XSS in Flowsint

プラットフォーム

javascript

コンポーネント

flowsint

修正版

1.2.3

NVDで見る
保存

Flowsint は、サイバーセキュリティ調査、透明性、検証のために設計されたオープンソースの OSINT グラフ探索ツールです。バージョン 1.2.3 以前では、リモート攻撃者がマップノードに悪意のある HTML を含むラベルを作成することで、Stored XSS 脆弱性を引き起こす可能性があります。この脆弱性はバージョン 1.2.3 で修正されており、影響を受けるユーザーは速やかにアップデートすることを推奨します。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者はユーザーのブラウザ上で任意の JavaScript コードを実行し、機密情報を窃取したり、ユーザーを偽のウェブサイトに誘導したりする可能性があります。攻撃者は、この脆弱性を利用して、OSINT 調査の信頼性を低下させ、誤った結論を導き出す可能性があります。また、ユーザーのセッションを乗っ取ったり、他のシステムへのアクセス権を奪取したりする可能性もあります。

悪用の状況

この脆弱性は、2026年5月12日に公開されました。現時点では、この脆弱性を悪用した具体的な事例は報告されていません。しかし、XSS 脆弱性は、攻撃者にとって非常に一般的な標的であり、悪用される可能性は高いと考えられます。この脆弱性は、KEV (Kernel Exploitability Test) の評価は未定です。EPSS (Exploit Prediction Scoring System) スコアも評価待ちです。

影響を受けるソフトウェア

コンポーネントflowsint
ベンダーreconurge
最小バージョン1.0.0
最大バージョン< 1.2.3
修正版1.2.3

弱点分類 (CWE)

CWE-79

タイムライン

  1. 公開日

緩和策と回避策

この脆弱性への最も効果的な対策は、Flowsint をバージョン 1.2.3 にアップデートすることです。アップデートが利用できない場合は、マップノードのラベルの入力を厳密に検証し、HTML のエスケープ処理を徹底する必要があります。Web Application Firewall (WAF) を導入し、XSS 攻撃を検出してブロックすることも有効です。また、Flowsint のアクセス制御を強化し、不正なアクセスを防止することも重要です。アップデート後、バージョン 1.2.3 が正しくインストールされ、脆弱性が修正されていることを確認してください。

修正方法翻訳中…

Actualice Flowsint a la versión 1.2.3 o posterior para mitigar el riesgo de XSS. Esta versión corrige la vulnerabilidad al sanitizar correctamente las entradas de los usuarios en los marcadores del mapa, evitando la ejecución de código malicioso.

よくある質問

CVE-2026-42157 とは何ですか?(Flowsint の XSS)

Flowsint の脆弱性で、攻撃者が XSS を引き起こす可能性があります。バージョン 1.0.0 未満 1.2.3 以前に影響します。

Flowsint の CVE-2026-42157 による影響を受けていますか?

Flowsint のバージョンが 1.0.0 未満 1.2.3 以前の場合は、影響を受ける可能性があります。

Flowsint の CVE-2026-42157 を修正するにはどうすればよいですか?

Flowsint をバージョン 1.2.3 にアップデートしてください。

CVE-2026-42157 は積極的に悪用されていますか?

現時点では、悪用事例は報告されていません。

CVE-2026-42157 に関する Flowsint の公式アドバイザリはどこで確認できますか?

NVD (National Vulnerability Database) や CISA (Cybersecurity and Infrastructure Security Agency) のウェブサイトで詳細を確認できます。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索
scanZone.liveBadgescanZone.eyebrow

今すぐ試す — アカウント不要

Upload any manifest (composer.lock, package-lock.json, WordPress plugin list…) or paste your component list. You get a vulnerability report instantly. Uploading a file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.

手動スキャンSlack/メールアラートContinuous monitoringホワイトラベルレポート

依存関係ファイルをドラッグ&ドロップ

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...