- 2026-04-17
マイクロソフトのSymCryptにおけるヒープベースのバッファオーバーフローの脆弱性
SymCryptは現在Windowsで使用されている主要な暗号関数ライブラリです。バージョン103.5.0から103.11.0未満の間、SymCryptXmssSign関数は64ビットのリーフカウント値を32ビットパラメータを受け取るヘルパ……
- 2026-04-17
David Foster (davidfstr)のDiscount Markdown Processor for Rubyにおける境界外読み取りに関する脆弱性
DiscountはJohn GruberのMarkdownマークアップ言語をC言語で実装したものです。バージョン1.3.1.1から2.2.7.4未満の間、符号付き長さ切り捨てバグにより、デフォルトのMarkdown解析パスで境界外読み取りが……
- 2026-04-17
ContainersのAardvark-dnsにおける複数の脆弱性
Aardvark-dnsはA/AAAAコンテナレコードのための権威DNSサーバーです。バージョン1.16.0から1.17.0において、切り詰められたTCP DNSクエリの後に接続がリセットされると、aardvark-dnsは回復不能な無限エ……
- 2026-04-17
libsdlのSDL Imageにおける境界外読み取りに関する脆弱性
SDL_imageは、様々な形式の画像をSDLサーフェスとして読み込むライブラリです。src/IMG_xcf.cのdo_layer_surface()関数において、デコードされたXCFタイルデータのピクセルインデックス値が、カラーマップサイ……
- 2026-04-17
FUTOのImmichにおけるクロスサイトスクリプティングの脆弱性
immichは高性能なセルフホスト型の写真・動画管理ソリューションです。バージョン2.7.0以前では、360°パノラマビューアに格納型クロスサイトスクリプティング(XSS)の脆弱性が存在し、認証済みの任意のユーザーがOCRオーバーレイが有効……
- 2026-04-17
JdxのMiseにおけるアクセス制御に関する脆弱性
mise は node、python、cmake、terraform などの開発ツールを管理するツールです。2026年2月18日から2026年4月5日までの間、mise はトラストチェックが実行される前にローカルプロジェクトの .mise.……
- 2026-04-17
RostislavのQuickDropにおけるクロスサイトスクリプティングの脆弱性
QuickDropは使いやすいファイル共有アプリケーションです。バージョン1.5.3以前には、ファイルプレビューのエンドポイントに格納型XSS脆弱性が存在していました。アプリケーションは/api/file/upload-chunkエンドポイ……
- 2026-04-17
RackのRack::Sessionにおける複数の脆弱性
Rack::SessionはRackのセッション管理の実装です。バージョン2.0.0から2.1.2未満の間、Rack::Session::Cookieはsecretsが設定されている場合の復号失敗を正しく処理していませんでした。クッキーの復……
- 2026-04-17
DrizzleにおけるSQL インジェクションの脆弱性
Drizzleは最新のTypeScript ORMです。バージョン0.45.2および1.0.0-beta.20以前のDrizzle ORMでは、方言固有のescapeName()実装が引用されたSQL識別子を不適切にエスケープしていました。……