成日: 2026/03/26    最終更新日: 2026/03/26

文書種別

不具合

状況

修正済み

想定される影響

攻撃者にこの脆弱性を利用された場合、クライアント側で任意の処理を実行される可能性があります。
 

脆弱性への対応方法

不具合を修正した最新バージョンを使用する。または後述の回避方法を実装します。
 

脆弱性の種類

CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')

脆弱性の基本評価（CVSS v4.0）

　【悪用可能性指標】
　攻撃元区分(AV)：ネットワーク
　攻撃条件の複雑さ(AC)：低
　攻撃成立の要件(AT)：なし
　必要な特権レベル(PR)：なし
　ユーザ関与レベル(UI)：要
　影響の想定範囲(S)：変更あり

　【脆弱なシステムへの影響指標】
　機密性への影響(VC)：低
　完全性への影響(VI)：なし
　可用性への影響(VA)：なし

　【後続システムへの影響指標】
　機密性への影響(SC)：高
　完全性への影響(SI)：高
　可用性への影響(SA)：なし

CVSS基本値（深刻度）：6.3（Medium／中）

補足

攻撃につながる恐れがあるため、再現手順は公開していません。

回避方法

SpreadJS V19Jで修正済み。

V18.2J以前のバージョンでは、以下のようにSpreadJSのランタイムファイルを読み込む前に、回避策を実装します。

<script>
   // 回避策
   var nativeOPEN = window.open;
   window.open = function () {
      arguments[0];
       try {
           var url = new URL(arguments[0]);
           if (url.protocol === "javascript:")
               arguments[0] = '';
       } catch (e) {
       }
       nativeOPEN.apply(this, arguments);
   }
</script>
<script src="./scripts/gc.spread.sheets.all.18.2.4.min.js"></script>