CVE-2026-41241 は、カンファレンス主催者が講演申込みとスケジュール管理に使用する人気のオープンソースツール「pretalx」に存在する蓄積型クロスサイトスクリプティング(XSS)脆弱性(攻撃コードをデータベースに保存させる方法)で、攻撃者が主催者のセッションを事実上乗っ取ることを可能にするものだ。
申込みタイトル、講演者の表示名、ユーザー名やメールアドレスなど、検索可能なフィールドを制御できるユーザーなら誰でも、任意の HTML や JavaScript を注入できた。主催者が管理画面で検索すると、検索結果に含まれる悪意のあるコードが主催者のブラウザで勝手に実行されてしまう。
pretalx のセキュリティ勧告によると「攻撃コードが作動すると、主催者の管理画面を完全に乗っ取ることができた。具体的には、主催者のセキュリティ認証を盗み取り、主催者になりすまして勝手にデータを書き換えたり、管理画面に表示される機密情報を外部に送信したりできた」という。
プロジェクトメンテナーは 4 月にこの欠陥にパッチを当て、pretalx 2026.1.0 で修正済みだ。
AI を活用したセキュリティ診断スタートアップ企業 Novee社の創業エンジニア兼セキュリティ研究者のエラド・メゲドがこの脆弱性を発見して報告した。カンファレンスの講演申込みを準備していた彼は、興味深いパターンに気づいた。様々なハッカー会議や学術シンポジウムが、表向きは独自のイベントなのに、講演募集フォームは全て同じシステム(pretalx)を使っていたのだ。
● すべて単一のシステム
イベントはそれぞれ独自で、運営企業や主催者も異なるが、その裏では、全て同じプログラム(pretalx)が動いているとメゲドは研究で指摘した。この研究結果は本誌(編集部註:The Register 誌)に事前提供され、水曜日に一般公開された。
メゲドは、40 のカンファレンスが全て同じ pretalx システムを使っているという発見を活かし、自動化スクリプトで一括申込みを行った。ただし、脆弱性を悪用した攻撃は行わず、通常の申込みとして講演企画『Securing Modern Web Apps(最新 Web アプリのセキュリティ)』を提出した結果、皮肉にも全てで採択されたという。
ここで明確にしておくと、メゲドは通常の講演申込みを行っており、攻撃コードは一切送信していない。また、Novee 社のチームによる検証は全て自社環境内で完結しており、実際に稼働中の pretalx システムを危険に晒すことは一切なかった。
メゲドは自身の講演タイトルをもっと楽しいものにできたことを認めているが、他の提案に紛れ込むように意図的に退屈で普通なものにしたかったという。「確かに『Securing Modern Web Apps』よりも、もっと突飛なタイトルの方が面白かったでしょうが、それでは脆弱性の実証という本来の目的を見失ってしまいます」
「我々の目的は、カンファレンス運営に何らの影響も与えずに、申込みシステムのプロセスの中に脆弱性が存在することを証明することでした」とメゲドは本誌に語った。「実際のカンファレンスには無害な講演タイトルで申し込み、脆弱性が本当に悪用可能かは自社の隔離された環境のみで確認しました」
pretalx ベースの講演募集システムを使用しているイベントには「OffensiveCon」「TROOPERS」「FOSDEM」「HEXACON」「Recon」などが含まれると彼は述べたが、これらのカンファレンスが実際に悪用されたり侵害されたりしたわけではないことをメゲドは強調した。
講演申込みに pretalx を使用していたが、当時申込みを受け付けていなかったカンファレンスについては、メゲドは責任ある開示(responsible disclosure)を通じて個別に脆弱性を報告した。
