- 2026-01-06
Dify v1.9.1の/system-featuresエンドポイントに認証なしでアクセス可能な認可不備により機密情報が漏洩する脆弱性
Dify v1.9.1には不適切な権限管理の脆弱性があります。認証されていない攻撃者は、認証情報やセッショントークンなしで /console/api/system-features エンドポイントへ直接HTTP GETリクエストを送信できま……
NVNB258th page
- 2026-01-06
Dify v1.9.1におけるクロスオリジンリクエスト認証回避の脆弱性
Dify v1.9.1の/console/api/system-featuresエンドポイントには、クロスオリジンリソースシェアリング(CORS)の設定ミスによる脆弱性が存在します。このエンドポイントでは、過度に許容的なCORSポリシーが実……
- 2026-01-06
MCP Data Science Serverのsafe_eval関数におけるコマンドインジェクションの脆弱性
MCP Data Science Server(reading-plus-ai/mcp-server-data-exploration)バージョン0.1.6のsafe_eval()関数(src/mcp_server_ds/server.py……
- 2026-01-06
baryhuang/mcp-server-aws-resources-pythonにおけるexecute_queryメソッドの不十分な入力検証によるリモートコード実行の脆弱性
baryhuang/mcp-server-aws-resources-python 0.1.0 には、execute_query メソッドでの入力検証が不十分なため、リモートコード実行が可能となるコードインジェクションの脆弱性が存在します。……
- 2026-01-06
SIMICAM、KEVIEW、ASECAMの認証なし機密APIアクセスによる情報漏洩の脆弱性
SIMICAM v1.16.41-20250725、KEVIEW v1.14.92-20241120、ASECAM v1.14.10-20240725において、不適切なアクセス制御が存在するため、攻撃者が認証なしで機密性の高いAPIエンドポ……
- 2026-01-06
CMS Made Simple Foundation File Managerにおける認証済みユーザーがファイルをアップロードできることによる任意コード実行の危険がある脆弱性
CMS Made Simple Foundation File Manager v2.2.22の/uploads/エンドポイントには、認証済みの任意ファイルアップロード脆弱性が存在します。管理者権限を持つ攻撃者が細工されたPHPファイルをア……
- 2026-01-06
Restoranの問い合わせ欄で発生するSQLインジェクションの脆弱性
Githubのレストランウェブサイト Restoran v1.0には、Contact Formページを経由してSQLインジェクションの脆弱性が存在することが判明しました。
- 2026-01-06
phpMsAdminにおける認証後の入力値処理により反射型クロスサイトスクリプティングが発生する脆弱性
phpMsAdmin バージョン 2.2 の database_mode.php ファイルには、反射型クロスサイトスクリプティング(XSS)脆弱性が存在します。攻撃者は、認証後のユーザーによって dbname パラメーターを介して任意のWe……
- 2026-01-06
phpMsAdminのdatabase_mode.phpにおけるSQLインジェクションの脆弱性
phpMsAdmin バージョン2.2の database_mode.php ファイルには SQLインジェクションの脆弱性が存在します。攻撃者は dbname パラメータを介して任意のSQLコマンドを実行でき、情報漏えいやデータベースの改ざ……
- 2026-01-06
yohanawi Hotel Management Systemのroom.phpにおける反射型クロスサイトスクリプティング(XSS)の脆弱性
yohanawi Hotel Management System(コミット 87e004a)には、pages/room.php の ‘error’ パラメータを通じてリモートの攻撃者が任意のWebスクリプトを実行でき……