Novee Securityの研究者たちが、世界中の多くの技術カンファレンスで発表募集(CFP)とスケジュール管理を担うオープンソースプラットフォーム「Pretalx」において、深刻度の高い脆弱性を公開しました。
CVE-2026-41241として追跡されるこの欠陥は、ストアド型XSSの問題として説明されており、登録済みのカンファレンス登壇者であれば誰でも、主催者が攻撃者の投稿を検索した瞬間に静かに実行される悪意あるコードを仕込むことができました。
この脆弱性はPretalxバージョン2026.1.0でパッチが適用されています。
多数の著名な技術カンファレンスが同じPretalxのコードベースを共有しているため、単一の攻撃手法をすべての環境に対して同時に展開することが可能でした。
悪意ある攻撃者は、罠を仕掛けたトーク提案を複数のカンファレンスに送信し、主催者が投稿を検索するのを待つだけで、それ以上の操作なしにそれらの主催者アカウントを自動的に乗っ取ることができました。
プラットフォームのセキュリティ機構は不正なスクリプトの実行をブロックするよう設計されており、ブラウザ自身の仕組みも注入されたコードを抑制するはずでした。
しかしNoveeの研究者たちは、無害なプラットフォーム機能——具体的には、登壇者資料のアップロード機能と検索結果の表示方法——を組み合わせることで両方の防御を回避し、主催者のブラウザ上でJavaScriptを完全に実行させるチェーンを実現する方法を発見しました。
その影響はトーク採択率100%にまで及ぶ可能性があります。この脆弱性とAIエージェントを持つ攻撃者は、理論上、Pretalxを使用するすべてのイベントへの提案提出を自動化し、よく使われる検索ワードを盛り込んだ提案タイトルに悪意あるペイロードを埋め込み、主催者のクエリがエクスプロイトを発動するのを待つことで、実質的に正規のレビューなしにトークを強制的に採択させることができます。
Noveeの研究者たちは、実際の悪用可能性を示すためにこのシナリオを概念実証として実演しました。
