- 2026-01-06
DedeCMSに存在するクロスサイトリクエストフォージェリの脆弱性
DedeCMS v5.7には、/src/dede/makehtml_list_action.phpを介したクロスサイトリクエストフォージェリ(CSRF)の脆弱性が存在することが判明しました。
NVNB201st page
- 2026-01-06
WordPressのWP_HTML_Tokenクラスにおけるアンシリアライズ処理ミスによる任意コード実行の可能性がある脆弱性
WordPressはウェブ用のオープンパブリッシングプラットフォームです。`WP_HTML_Token`クラスのインスタンスをアンシリアライズすると、その`__destruct()`マジックメソッドを通じてコードを実行できてしまう脆弱性が存……
- 2026-01-06
商品レビュー機能においてユーザー入力処理が不適切なため、クロスサイトスクリプティングが可能となる脆弱性
Nopcommerce 4.70.1 には、新規レビュー作成時に「AddProductReview.Title」と「AddProductReview.ReviewText」パラメータ(レビュー)を組み合わせて利用すると、クロスサイトスクリプ……
- 2026-01-06
Linksys E2500における認証済み攻撃者による任意コード実行の脆弱性
Linksys Router E2500(ファームウェア2.0.00)に脆弱性が発見され、認証済みの攻撃者がhnd_parentalctrl_unblock関数を介して任意のコードを実行できる可能性があります。
- 2026-01-06
Croogoにおける認証なしファイル読み取りの脆弱性
Croogo CMS 4.0.7 にはパストラバーサルの脆弱性が存在し、リモートの攻撃者が ‘edit-file’ パラメータに細工されたパスを指定することで、任意のファイルを読み取ることが可能です。
- 2026-01-06
Cloudlogのクエリパラメータに存在するタイムベースのブラインドSQLインジェクションによる情報漏洩の脆弱性
Cloudlog v2.6.15のエンドポイント/index.php/logbookadvanced/searchにあるqsoresultsパラメータには、タイムベースのブラインドSQLインジェクションの脆弱性が存在します。
- 2026-01-06
Cephのx-amz-copy-source引数処理によりサービス妨害が発生する脆弱性
Cephは分散型のオブジェクト、ブロック、およびファイルストレージプラットフォームです。バージョン19.2.3以前では、オブジェクトの配置時に引数「x-amz-copy-source」を使用し、その内容に空文字列を指定すると、RGWデーモン……
- 2026-01-06
WPLMSにおけるパストラバーサルの脆弱性
WPLMS(VibeThemes)にはパストラバーサルの脆弱性(’…/…//’)が存在し、攻撃者がパストラバーサル攻撃を実行できてしまいます。この問題は、バージョン n/a から 1.9.9.……
- 2026-01-06
Strapiのlookupオペレーターのサニタイズ不備による情報漏えいの脆弱性
Strapiはオープンソースのヘッドレスコンテンツ管理システムです。バージョン5.0.0から5.5.2未満では、ドキュメントサービスによって提供されるlookupオペレーターが、プライベートフィールドに関するクエリパラメータのサニタイズを適……
- 2026-01-06
CMSimpleにおける認証済みリモートコマンド実行の脆弱性
CMSimple 5.15 にはリモートコマンド実行の脆弱性が存在しており、認証された攻撃者がファイル拡張子を変更して悪意のあるPHPファイルをアップロードすることが可能です。攻撃者は Extensions_userfiles に「,php……