- 2026-07-03
GoogleのMCP Toolbox for Databasesにおけるパストラバーサルの脆弱性
googleapis/mcp-toolboxのHTTPツールのURLビルダーにはパストラバーサル脆弱性が存在します。ダウンストリームのAPIリクエストを作成する際、URLビルダーはユーザーが制御するpathParamsを設定されたツールパス……
- 2026-07-03
Amazon.com, Inc.のAmazon CloudFrontにおけるHTTP リクエストスマグリングに関する脆弱性
AWS WAF を有効にした Amazon CloudFront における HTTP/2 リクエストの解釈の不整合により、リクエストボディをフレーム間で断片化してボディの一部しか検査されないように細工された HTTP/2 リクエストを用いて……
- 2026-07-03
Amazon.com, Inc.のApplication Load BalancerにおけるHTTP リクエストスマグリングに関する脆弱性
AWS WAFが有効なAWSアプリケーションロードバランサー(ALB)において、HTTP/2リクエストの解釈が一貫していないため、リモート攻撃者がリクエストボディを複数のフレームに分割した改ざんされたHTTP/2リクエストを使用し、一部のボ……
- 2026-07-03
RTK-AIのRTK (Rust Token Killer)における複数の脆弱性
rtkは、コマンド出力がLLMコンテキストに到達する前にそれらをフィルタリングおよび圧縮します。バージョン0.32.0以前のRTK(Rust Token Killer)は、プロジェクトローカルの設定ファイルを不適切に信頼していました。RTK……
- 2026-07-03
RTK-AIのrtk-rewriteにおけるOS コマンドインジェクションの脆弱性
@rtk-ai/rtk-rewrite は、OpenClaw の exec ツールを介して実行されるシェルコマンドを、その RTK 等価物に透過的に書き換えます。バージョン 1.0.0 では、@rtk-ai/rtk-rewrite Open……
- 2026-07-03
Schneider Electric のPowerLogic P7 FirmwareにおけるNULL ポインタデリファレンスに関する脆弱性
CWE-476 NULLポインタ参照の脆弱性が存在し、不正なリクエストが公開されたネットワークインターフェースを通じて受信されると、サービス拒否(DoS)状態を引き起こし、デバイスのHMIおよび設定機能が利用できなくなる可能性があります。
- 2026-07-03
Schneider Electric のPowerLogic P7 FirmwareにおけるOS コマンドインジェクションの脆弱性
CWE-78 OSコマンドで使用される特殊要素を無効化できていない(『OSコマンドインジェクション』)脆弱性が存在し、権限を昇格させた不正なコマンド実行を許容する可能性があります。この脆弱性は、特権認証を受けたユーザーが脆弱なネットワーク公……
- 2026-07-03
Schneider Electric のPowerLogic P7 Firmwareにおける到達可能なアサーションに関する脆弱性
CWE-617の到達可能なアサーション脆弱性が存在し、認証された攻撃者が特別に細工されたリクエストを脆弱なネットワーク公開サービスに送信することで、サービス拒否(DoS)状態を引き起こし、システムの可用性に影響を及ぼす可能性があります。
- 2026-07-03
レッドハットのbuild of keycloakにおけるデジタル署名の検証に関する脆弱性
Keycloakに脆弱性が発見されました。このJWTアルゴリズム混乱の脆弱性は、JWT認可グラントフローにおいて有効なクライアント認証情報を持つ攻撃者が署名検証を回避できる問題です。攻撃者はアサーションを偽造することで、認可されていないアク……

