JVNDB-2026-010689:icalendar ProjectのicalendarにおけるCRLF インジェクションの脆弱性

VRDA Feed by

Vulnerability Response Decision Assistance Feed : 脆弱性脅威分析用情報の定型データ配信

[ about VRDA Feed | JPCERT/CC ]

分析対象脆弱性情報 (リビジョン番号 : 1)

[ Download XML ]

JVNDB-2026-010689 ( CVE-2026-33635 | CVE-2026-33635 )

icalendar ProjectのicalendarにおけるCRLF インジェクションの脆弱性

https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-010689.html

原文

iCalendarはRFC-5545で定義されたiCalendar形式のファイルを扱うRubyライブラリであり、バージョン2.0.0から2.12.2未満には.icsファイルのURIプロパティ値が適切にサニタイズされない問題があります。この問題により、攻撃者は制御可能な入力を使用してICSインジェクションを行い、任意のカレンダー行を出力に追加できる恐れがあります。具体的には、Icalendar::Values::UriはURI.parseが失敗した場合に元の入力文字列を返し、その後のシリアライズ処理で改行コードを適切に除去またはエスケープしないため、CRLFを含むペイロードが元のプロパティを終了させ、新たなICSプロパティやコンポーネントを作成するリスクがあります。この脆弱性はurl、source、image、organizer、attach、attendee、conference、tzurlといったプロパティ経由でのインジェクションを可能にします。部分的に信頼されていないメタデータから.icsファイルを生成するアプリケーションが影響を受けるため、結果として下流のカレンダークライアントやインポーターが攻撃者の供給した内容を正当なイベントデータとして処理し、参加者の追加やURLの変更、アラームやその他のカレンダー項目の改変が行われる可能性があります。本問題はバージョン2.12.2で修正されました。

翻訳 (表示)

この情報について

分析情報提供元:

JVN iPedia

初版公開日:

2026-04-13

分析対象脆弱性情報の分類:

アドバイザリ・注意喚起

最終更新日:

2026-04-13

脆弱性の影響を受ける製品の識別子

cpe:/a:icalendar_project:icalendar

脆弱性の分析内容

[攻撃元区分] ^[?]

未評価^[?]

ローカル^[?]

隣接^[?]

ネットワーク^[?]

[攻撃条件の複雑さ] ^[?]

未評価^[?]

高^[?]

中^[?]

低^[?]

[攻撃前の認証要否] ^[?]

未評価^[?]

複数^[?]

単一^[?]

不要^[?]

[機密性への影響] ^[?]

未評価^[?]

影響なし^[?]

部分的^[?]

全面的^[?]

[完全性への影響] ^[?]

未評価^[?]

影響なし^[?]

部分的^[?]

全面的^[?]

[可用性への影響] ^[?]

未評価^[?]

影響なし^[?]

部分的^[?]

全面的^[?]