JVN iPedia http://jvndb.jvn.jp Advisory JVNDB-2026-010757 Discourseはオープンソースのディスカッションプラットフォームです。バージョン2026.1.0-latestから2026.1.3未満、2026.2.0-latestから2026.2.2未満、および2026.3.0-latestから2026.3.0未満の間で、共有AI会話を作成する能力を持つ攻撃者が、細工された会話タイトルを介して任意のHTMLおよびJavaScriptを注入できる脆弱性がありました。このペイロードは、ワンボックスプレビューを閲覧する任意のユーザーのブラウザ上で実行され、セッションの乗っ取りや被害者になりすましての不正な操作を許してしまう可能性がありました。この問題はバージョン2026.1.3、2026.2.2、および2026.3.0で修正されています。 cpe:/a:discourse:discourse https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-010757.html Common Vulnerabilities and Exposures (CVE) CVE-2026-32243 https://www.cve.org/CVERecord?id=CVE-2026-32243 National Vulnerability Database (NVD) CVE-2026-32243 https://nvd.nist.gov/vuln/detail/CVE-2026-32243 GitHub Stored XSS in discourse-ai shared conversations onebox Advisory discourse/discourse GitHub https://github.com/discourse/discourse/security/advisories/GHSA-pjc5-8x3w-rfwx JVNDB CWE-79 https://jvndb.jvn.jp/ja/cwe/CWE-79.html 関連文書 SECURITY: Stored XSS in discourse-ai shared conversations onebox discourse/discourse@cac7d61 GitHub https://github.com/discourse/discourse/commit/cac7d618a562ce934f8dbf73cdb70066a4806b4c 2026-04-13T12:21:00+09:00 2026-04-13T12:21:00+09:00