- 2026-04-14
- 2026-04-13
注意喚起: Adobe AcrobatおよびReaderの脆弱性(APSB26-43)に関する注意喚起 (公開)
[redirect url=”https://www.jpcert.or.jp/at/2026/at260009.html”]
- 2026-04-13
JetKVMのKVMにおける複数の脆弱性
JetKVMのバージョン0.5.4以前では、ダウンロードされたファームウェアファイルの真正性を検証しません。中間者攻撃者や侵害されたアップデートサーバーが、ファームウェアおよび対応するSHA256ハッシュを改ざんし、検証を通過させる可能性が……
- 2026-04-13
JetKVMのKVMにおける過度な認証試行の不適切な制限に関する脆弱性
JetKVMのバージョン0.5.4以前ではログインリクエストに対するレート制限が行われておらず、ブルートフォース攻撃によって認証情報を推測される可能性があります。
- 2026-04-13
MyBB GroupのThread Redirect pluginにおけるクロスサイトスクリプティングの脆弱性
MyBB Thread Redirect Plugin 0.2.1には、スレッドリダイレクト用のカスタムテキスト入力フィールドにクロスサイトスクリプティングの脆弱性があります。攻撃者は悪意のあるSVGスクリプトを注入でき、他のユーザーがスレ……
- 2026-04-13
MyBB GroupのTrending Widgetにおけるクロスサイトスクリプティングの脆弱性
MyBB Trending Widget Plugin 1.2にはクロスサイトスクリプティングの脆弱性が存在しており、攻撃者がスレッドタイトルを通じて悪意のあるスクリプトを注入することが可能です。攻撃者は、トレンドウィジェットを他のユーザー……
- 2026-04-13
Cewe GroupのCEWE PHOTO SHOWにおけるパスワードの代わりにパスワードハッシュを使用する認証に関する脆弱性
CEWE PHOTO SHOW 6.4.3にはサービス拒否の脆弱性が存在し、攻撃者がパスワードフィールドに過度に長いバッファを送信することでアプリケーションをクラッシュさせる可能性があります。攻撃者はアップロード処理中にパスワード入力欄に繰……
- 2026-04-13
Cewe GroupのCEWE PHOTO IMPORTERにおける再利用前に削除されていないリソース内重要情報に関する脆弱性
CEWE PHOTO IMPORTER 6.4.3には、ローカル攻撃者が特別に細工された画像ファイルをインポートすることでアプリケーションをクラッシュさせ、サービス拒否を引き起こす脆弱性があります。攻撃者は、サイズが大きすぎるバッファを含む……
- 2026-04-13
Victor Alagwu (VictorAlagwu)のCMSsiteにおけるSQL インジェクションの脆弱性
CMSsite 1.0には、認証されていない攻撃者が’post’パラメータを通じてSQLコードを注入し、データベースクエリを操作できるSQLインジェクションの脆弱性があります。攻撃者は悪意のある’post……
- 2026-04-13
Victor Alagwu (VictorAlagwu)のCMSsiteにおけるクロスサイトリクエストフォージェリの脆弱性
CMSsite 1.0にはクロスサイトリクエストフォージェリの脆弱性が存在し、攻撃者が悪意のあるHTMLフォームを作成することで、権限のない管理操作を実行できます。攻撃者は認証済みの管理者を騙して、source=add_user、sourc……