JVNDB-2025-023755

 xxyopenのnovelにおけるクロスサイトスクリプティングの脆弱性

201206030 novel V3.5.0 には、DOM ベースのクロスサイトスクリプティング（XSS）脆弱性が存在します。これにより、リモートの攻撃者が巧妙に作成した「wvstest」パラメータを URL に挿入したり、window.localStorage に悪意のあるスクリプトを注入したりすることで、任意の JavaScript コードが実行されたり、ユーザーセッションのクッキーなどの機密情報が漏洩する可能性があります。この脆弱性は、ユーザーが制御できるデータの検証やエンコードが不十分であることが原因です。具体的には、フィルタリングされていないユーザー入力がバックエンドデータベース（book_comment テーブルの commentContent フィールド）に格納され、API を通じて返され、そのまま Vue 3 の v-html ディレクティブで DOM に描画されるため、サニタイズ処理が行われません。最近のブラウザの XSS フィルタがポップアップアラートをブロックした場合でも、攻撃者は隠されたペイロードを用いて検知を回避し、実害を引き起こす可能性があります。

xxyopen

• novel 3.5.0

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。
さらに、当該ソフトウェアは停止しません。
そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : GitHub - zero-day348/CVE-2025-65442-DOM-based-Cross-Site-Scripting-XSS-Vulnerability-in-novel-V3.5.0-CWE-79-: DOM-based Cross-Site Scripting (XSS) Vulnerability in novel V3.5.0 (CWE-79)

1. クロスサイトスクリプティング(CWE-79) [その他]

1. CVE-2025-65442

1. National Vulnerability Database (NVD) : CVE-2025-65442
2. 関連文書 : GitHub - 201206030/novel: novel 是一套基于下最新 Java 技 Spring Boot 3 + Vue 3 的前后端分学型小目，配保姆教程手把手教从零始上一套生的 Java 系，由小系、作家后台管理系、平台后台管理系等多个子系成。包括小推荐、作品索、小排行榜、小、小、会中心、作家区、充、新

• [2026年01月06日]
    掲載