あるセキュリティ研究者が、テックカンファレンスにスピーカー申請を確実に受理させる万全の方法を見つけた。そのシステム自体をハックするというものだ。
CVE-2026-41241 は、カンファレンス主催者がスピーカー申請とスケジュール管理に使用する人気のオープンソースツール「pretalx」に存在する、保存型クロスサイトスクリプティング(XSS)の脆弱性であり、攻撃者が主催者のセッションを事実上乗っ取ることを可能にする。申請タイトル、スピーカーの表示名、ユーザー名やメールアドレスなど、検索可能なフィールドを制御できるユーザーであれば、任意のHTMLやJavaScriptを注入できる。主催者の検索クエリが悪意あるレコードに一致した場合、ペイロードが主催者インターフェース上で実行される。
「トリガーされると、注入されたスクリプトはpretalxの主催者インターフェースのコンテキストで実行され、ページの[クロスサイトリクエストフォージェリ] CSRFトークンの読み取り、被害者に代わって認証済みリクエストの送信(CSRFトークンへのアクセスによるデータ変更リクエストを含む)、または被害者に表示されるデータの外部送信が可能となる」と、pretalxのセキュリティアドバイザリは述べている。
プロジェクトのメンテナーは4月にこの欠陥にパッチを適用し、pretalx 2026.1.0で修正された。
AIペネトレーションテストおよび攻撃的セキュリティのスタートアップNoveeの創業エンジニア兼セキュリティ研究者であるElad Megedは、カンファレンスのスピーカー申請を準備している際にこの欠陥を発見し、開示した。彼は、まったく同じ登壇申請(CFP)フォームが、さまざまなハッカーカンファレンスや学術シンポジウムのロゴの下に繰り返し表示されていることに気づいた。
「それら全てを支える一つのコードベース」
各イベントは異なる親会社や主催者を持つユニークな存在だが、「その裏では、それら全てを支える一つのコードベースが動いている」と、Megedは水曜日に公開し、事前にThe Registerと共有した調査レポートの中で述べた。
Megedはその後、この欠陥を利用して40のカンファレンスに自動申請し、提案した講演「Securing Modern Web Apps」のすべてで登壇承認を得た。
Megedは実際の申請内容を送信したものの、カンファレンスのシステムにライブのエクスプロイトペイロードは送信しなかった。Noveeチームはすべての調査結果をローカルインスタンスで検証した。pretalx.com やサードパーティホスト環境でのテストは一切行っていない。
過激なタイトルの方が面白かったとは思うが、それは責任ある行動ではなかっただろう
「目標は、不必要な被害を避けながら、実際のセットアップにおける脆弱なワークフローを検証することだった」とMegedはThe Registerに語った。「そのため、現実的で普通に見える講演申請を使用し、バージョン固有の制御されたテストを通じて悪用可能性を検証した。」
pretalxベースのCFPインフラを使用しているイベントには、OffensiveCon、TROOPERS、FOSDEM、HEXACON、Reconなどが含まれると彼は述べたが、これらのカンファレンスが実際に攻撃・侵害されたことを意味するものではないと強調した。
講演申請にpretalxを使用していたが、申請受付期間中でなかったカンファレンスに対しては、Megedは責任ある開示を通じてフォローアップした。
そして確かに、Megedは講演タイトルをもっと遊び心あるものにできたことを認めているが、他の申請に溶け込むよう「意図的に無難で説得力のある」内容にしたかったという。「過激なタイトルの方が面白かったとは思うが、それは責任ある行動ではなかっただろう」と彼は言った。
人間主導、AIエージェントがサポート
Megedはこの研究を「インターネット規模でエージェントがサポートする、人間主導の脆弱性調査」と表現した。
脆弱性の種類を理解すれば、「有能なWebセキュリティ研究者」ならこのエクスプロイトを再現できるとし、「国家レベルのスキルは必要ない」と付け加えた。
しかし、攻撃をスケールさせ、安定して再現し、各実環境のpretalxデプロイメントに攻撃チェーンを適応させるにはAIエージェントのサポートが有効であり、これは「使い捨てのスクリプトやいたずらなCFP申請」ではなかったと彼は語った。
「pretalxのバージョン、デプロイの選択、有効な機能によって動作が変わる」とMegedは言う。「あるインスタンスで機能するものが別のインスタンスでは失敗したり、別の検証パスが必要になる場合がある。」
さらに、一部のカンファレンスはホスト型インフラを使用し、他は自己ホスト型インスタンスを運用している。
そこでこのセキュリティ企業は、公開されている脆弱なシステムをインターネット上でスキャンし、バージョンや設定について可能な限り情報を収集し、最善の攻撃方法を見つけるための、エージェント型のフィンガープリンティングおよび検証システムを構築した。
「この種の作業は手動ではスケールしない」
「この種の作業は手動ではスケールしない」とMegedは述べた。「人間はコアとなるアイデアを見つけ、プリミティブを理解し、責任ある開示の判断を下せる。しかし、インターネット全体の露出範囲のマッピング、多数のデプロイメントのフィンガープリンティング、バージョン比較、動作のモデル化、検証ロジックの調整、開示手順の整理は、まさにAIエージェントが役立つ領域だ。エージェントは、発見、フィンガープリンティング、バージョン比較、環境モデリング、制御された検証、ノート取り、開示ワークフロー管理を支援した。」
公開されているpretalxデプロイメントを発見・フィンガープリントし、バージョン固有の動作を特定した後、エージェントはそれぞれに対して最善の非破壊的な検証パスを選択した。
Noveeチームの調査以前に攻撃者がこのセキュリティ問題を発見・悪用した形跡はないものの、この脆弱性は深刻であり、カンファレンスの登壇申請およびスケジュール管理システムへの主催者レベルのアクセスを許可していた可能性がある。これらのシステムには通常、スピーカーの身元、申請内容、採否の決定、カンファレンス主催者とスピーカーとの間の非公開のやり取りが含まれる。
より大きなリスクは、信頼されたカンファレンスプラットフォームがイベントエコシステム全体への攻撃の踏み台になり得るということだ
この種の情報へのアクセスにより、著名な業界イベントになりすました標的型フィッシングやその他の信頼を悪用した攻撃が可能になっていた可能性がある。
「主催者レベルのアクセスがあれば、攻撃者は申請内容の閲覧や改ざん、審査プロセスへの干渉、カンファレンス運営スタッフへのなりすまし、CFPデータの改変、または信頼されたカンファレンスの文脈からスピーカーや申請者とのコミュニケーションが可能になる」とMegedは述べた。
「最も現実的な悪用シナリオは、標的型フィッシングや信頼を通じた横展開だ。スピーカー、スポンサー、レビュアー、または参加者が正規のカンファレンスシステムから送られたように見えるリンクやリクエストを受け取った場合、それを信頼する可能性がはるかに高くなる」と彼は付け加えた。「つまり、この話は単に:誰かが偽の講演を承認させることができた、というだけではない。より大きなリスクは、信頼されたカンファレンスプラットフォームがイベントエコシステム全体への攻撃の踏み台になり得るということだ。」
pretalxを作成した開発者のTobias KunzeはThe Registerに対し、Megedが4月14日に11件のセキュリティ調査結果を報告し、それらすべてを評価した結果、1件を深刻な脆弱性、5件を脆弱性ではないがバグとして修正対象に分類し、残りの5件を重大でない、または意図した動作として分類したと語った。
「Eladとのやり取りは非常に前向きでプロフェッショナルなものだった」とKunzeは語った。「彼の調査結果の深刻度と影響について議論し、pretalxのような小さなオープンソースプロジェクトが受け取れる限り優れた報告書だった。」 ®
