概要
GetSimpleCMS Community Edition (CE) バージョン3.3.16には、components.php内のTheme to Components機能に保存型クロスサイトスクリプティング(XSS)の脆弱性があります。ユーザーが提供するコンポーネントの「slug」フィールドへの入力が適切な出力エンコーディングなしで保存されます。他のフィールドはsafe_slash_html()でサニタイズされますが、slugパラメーターはXMLに書き込まれ、その後サニタイズされずに管理インターフェースでレンダリングされるため、任意のJavaScriptが永続的に実行されます。認証済み管理者は悪意のあるスクリプトを挿入でき、影響を受けるComponentsページが認証ユーザーに表示されるたびにスクリプトが実行されます。この結果、セッションハイジャック、不正な管理操作、およびCMS管理インターフェースの永続的な侵害を引き起こします。
技術情報
- 公開日: 2026-03-02T18:49:08+09:00
- 更新日: 2026-03-02T18:49:08+09:00
参考リンク
対処方法
該当ソフトウェアの最新版への更新、または開発元が提供する緩和策の適用を推奨します。運用環境に応じて事前検証の上で実施してください。
免責
本記事は公開情報をもとに自動集約された速報です。正確性・完全性は保証できません。必ず一次情報(上記リンク等)をご確認ください。
