JVNDB-2025-023766

 OxygenzのClipBucket V5における複数の脆弱性

ClipBucket v5はオープンソースの動画共有プラットフォームです。バージョン5.5.2-#156およびそれ以前では、認証済みの一般ユーザーがHTMLやJavaScriptのペイロードをコレクション名に含めた写真コレクションを作成できるため、ClipBucketの「写真管理」機能にストアドXSSの脆弱性が存在します。ペイロードはAdmin → 写真管理インターフェースで安全にレンダリングされず、管理者のブラウザ上で実行されます。その結果、攻撃者は管理者を標的として管理者権限で操作を実行できてしまいます。この問題はバージョン5.5.2-#157で修正されています。

Oxygenz

• ClipBucket V5 5.3 以上 5.5.2-157 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。
さらに、当該ソフトウェアが完全に停止する可能性があります。
そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub Advisory Database : Stored XSS in Manage Photos (Admin Area) via Collection Name  Advisory  MacWarrior/clipbucket-v5  GitHub

1. 不適切な権限管理(CWE-269) [その他]
2. クロスサイトスクリプティング(CWE-79) [その他]
3. クロスサイトスクリプティング(CWE-79) [NVD評価]

1. CVE-2025-64338

1. National Vulnerability Database (NVD) : CVE-2025-64338
2. 関連文書 : Back office : Fix possible XSS injection  MacWarrior/clipbucket-v5@8e3cf79  GitHub

• [2026年01月06日]
    掲載