プラットフォーム
javascript
コンポーネント
openstatus
修正版
1.0.1
CVE-2026-5808 is a cross-site scripting (XSS) vulnerability affecting openstatusHQ openstatus versions up to 1b678e71a85961ae319cbb214a8eae634059330c. This vulnerability allows an attacker to inject malicious scripts into the application, potentially leading to data theft or account takeover. The vulnerability resides within the Onboarding Endpoint's handling of the callbackURL argument. A patch, identified as 43d9b2b9ef8ae1a98f9bdc8a9f86d6a3dfaa2dfb, is available.
openstatusHQ openstatus のバージョン 1b678e71a85961ae319cbb214a8eae634059330c までの Cross-Site Scripting (XSS) の脆弱性が検出されました。この脆弱性は、ファイル apps/dashboard/src/app/(dashboard)/onboarding/client.tsx 内の不明な関数、特に Onboarding Endpoint コンポーネントに影響を与えます。攻撃者は、callbackURL 引数を操作することでこの脆弱性を悪用し、ユーザーのブラウザで悪意のあるスクリプトの実行を可能にする可能性があります。openstatus は継続的なリリースモデルで動作するため、特定の脆弱性のあるバージョンは利用できません。この脆弱性の重大度は CVSS 4.3 と評価されており、中程度のリスクを示しています。攻撃はリモートで実行できるため、露出のリスクが高まります。
XSS 脆弱性は、Onboarding Endpoint コンポーネント内の callbackURL 入力の不十分な検証が原因で発生します。攻撃者は、このパラメータに悪意のある JavaScript コードを注入し、操作された URL にアクセスしたときにユーザーのブラウザで実行される可能性があります。これにより、攻撃者は Cookie を盗んだり、ユーザーを悪意のある Web サイトにリダイレクトしたり、ユーザーの名義で他の悪意のあるアクションを実行したりする可能性があります。攻撃の性質がリモートであるため、攻撃者はこの脆弱性を悪用するためにシステムへの物理的なアクセスを必要としません。攻撃の成功は、攻撃者がユーザーを悪意のあるリンクをクリックさせたり、侵害された Web ページを訪問させたりする能力に依存します。
Organizations utilizing openstatusHQ openstatus in their operational environments are at risk, particularly those relying on the application for critical workflows or data management. Teams using older, unpatched deployments are especially vulnerable. Shared hosting environments where multiple users share the same openstatus instance could also be affected, as an attacker could potentially compromise other users' accounts.
• javascript / web:
// Check for unusual callbackURL parameters in network requests
// Look for URLs containing suspicious JavaScript code• generic web:
curl -I <openstatus_url>/apps/dashboard/src/app/(dashboard)/onboarding/client.tsx | grep callbackURL• generic web:
# Check access logs for requests with unusual callbackURL parameters
grep 'callbackURL=' /var/log/apache2/access.logdisclosure
エクスプロイト状況
EPSS
0.04% (12% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性に対する主な軽減策は、openstatusHQ openstatus の最新バージョンにアップデートすることです。継続的なリリースモデルのため、アップデートは継続的に実装されます。最新バージョンを使用していることを確認するために、バージョンノートとシステムアップデートを定期的に確認してください。さらに、入力検証とサニタイズなどの厳格な Web セキュリティポリシーを実装して、XSS 攻撃のリスクを軽減します。サーバーログを監視し、追加の保護レイヤーとして Web Application Firewall (WAF) の実装を検討してください。この脆弱性を効果的に対処するには、タイムリーなアップデートが不可欠です。
修正バージョン (43d9b2b9ef8ae1a98f9bdc8a9f86d6a3dfaa2dfb) へのアップデートにより、オンボーディングエンドポイントにおける Cross-Site Scripting (XSS) の脆弱性を軽減します。このアップデートは、悪意のあるコードの挿入を可能にしていた callbackURL 引数の操作を修正します。詳細なアップデート手順については、ベンダーのドキュメントを参照してください。
脆弱性分析と重要アラートをメールでお届けします。
XSS (Cross-Site Scripting) は、攻撃者が他のユーザーが閲覧する Web ページに悪意のあるスクリプトを注入できる Web セキュリティ脆弱性の種類です。
攻撃者は、この脆弱性を利用して、パスワードや個人データなどの機密情報を盗んだり、ユーザーを悪意のある Web サイトにリダイレクトしたりする可能性があります。
ブラウザで予期しないポップアップや未知の Web サイトへのリダイレクトなど、異常な動作に気付いた場合は、感染している可能性があります。セキュリティ専門家に相談してください。
アップデートを適用している間は、リンクをクリックしたり、不明な Web サイトを訪問したりする際には注意してください。
詳細については、openstatusHQ openstatus のバージョンノートとセキュリティアドバイザリを参照してください。