JVNDB-2026-005333

MoreliteaのInitiativeにおける複数の脆弱性

Initiativeはセルフホスト型のプロジェクト管理プラットフォームです。バージョン0.32.4以前のアプリケーションには、ドキュメントアップロード機能におけるストアドクロスサイトスクリプティング（XSS）の脆弱性があります。「Initiatives」セクション内でアップロード権限を持つ任意のユーザーが、悪意のある `.html` または `.htm` ファイルをドキュメントとしてアップロードできます。アップロードされたHTMLファイルは適切なサンドボックスなしでアプリケーションのオリジンの下で配信されるため、埋め込まれたJavaScriptがアプリケーションのコンテキストで実行されます。その結果、認証トークン、セッションCookie、その他の機密データが攻撃者が管理するサーバーに流出する可能性があります。さらに、アップロードされたファイルがアプリケーションのドメイン下でホスティングされるため、直接ファイルリンクを共有するとアクセス時に悪意のあるスクリプトが実行されることがあります。バージョン0.32.4でこの問題は修正されました。

Morelitea

• Initiative 0.32.2 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。
さらに、当該ソフトウェアは停止しません。
そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub Advisory Database : Token Theft via Stored XSS in Document Uploads  Advisory  Morelitea/initiative  GitHub

1. 危険なタイプのファイルの無制限アップロード(CWE-434) [その他]
2. クロスサイトスクリプティング(CWE-79) [その他]

1. CVE-2026-28274

1. National Vulnerability Database (NVD) : CVE-2026-28274
2. 関連文書 : Release v0.32.4  Morelitea/initiative  GitHub

• [2026年03月02日]
    掲載