JVNDB-2026-011467

FUTOのImmichにおけるクロスサイトスクリプティングの脆弱性

immichは高性能なセルフホスト型の写真・動画管理ソリューションです。バージョン2.7.0以前では、360°パノラマビューアに格納型クロスサイトスクリプティング（XSS）の脆弱性が存在し、認証済みの任意のユーザーがOCRオーバーレイが有効な悪意のあるパノラマを閲覧した他のユーザーのブラウザ上で任意のJavaScriptを実行できました。攻撃者は細工されたテキストを含む等角直方投影画像をアップロードし、OCRがそれを抽出し、パノラマビューアがサニタイズなしにinnerHTMLを通じてレンダリングします。これにより、攻撃者はセッションをハイジャックしたり（永続的なAPIキーの作成を通じて）、プライベート写真の流出を引き起こしたり、GPS位置履歴および顔の生体認証データにアクセスしたりできました。この脆弱性はバージョン2.7.0で修正されました。

FUTO

• Immich 2.6.0 以上 2.7.0 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。
さらに、当該ソフトウェアは停止しません。
そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : Stored XSS via OCR Text in 360° Panorama Viewer  Advisory  immich-app/immich  GitHub

1. クロスサイトスクリプティング(CWE-79) [その他]

1. CVE-2026-35455

1. National Vulnerability Database (NVD) : CVE-2026-35455

• [2026年04月17日]
    掲載