JVNDB-2026-008821

MantisBT GroupのMantisBTにおけるクロスサイトスクリプティングの脆弱性

Mantis Bug Tracker（MantisBT）はオープンソースの課題追跡システムです。バージョン2.28.0において、タグ削除（tag_delete.php）の際に、確認メッセージ表示時のタグ名が適切にエスケープされないため、攻撃者がHTMLを注入でき、CSP設定が許可している場合は任意のJavaScriptを実行できる可能性があります。バージョン2.28.1でこの問題は修正されました。回避策としては、コミットd6890320752ecf37bd74d11fe14fe7dc12335be9を元に戻すか、または言語ファイルを手動で編集し、$s_tag_delete_message文字列からsprintfプレースホルダー`%1$s`を削除する方法があります。

MantisBT Group

• MantisBT 2.28.0

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。
さらに、当該ソフトウェアは停止しません。
そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : Stored HTML Injection / XSS in Tag Delete Confirmation  Advisory  mantisbt/mantisbt  GitHub

1. クロスサイトスクリプティング(CWE-79) [その他]

1. CVE-2026-33517

1. National Vulnerability Database (NVD) : CVE-2026-33517
2. 関連文書 : Add tag name to delete confirmation message  mantisbt/mantisbt@d689032  GitHub
3. 関連文書 : Properly escape tag name prior to display  mantisbt/mantisbt@80990f4  GitHub

• [2026年03月27日]
    掲載