- 2026-03-16
Pocket IDにおけるオープンリダイレクトの脆弱性
Pocket IDは、ユーザーが自身のパスキーを用いてサービスに認証できるOIDCプロバイダーです。バージョン2.0.0から2.4.0未満にかけて、コールバックURLの検証に欠陥があり、URLのuserinfo部分(@を含む)を含む細工され……
NVNB45th page
- 2026-03-16
Pocket IDにおける不正な認証に関する脆弱性
Pocket IDは、ユーザーがパスキーを使ってサービスに認証できるOIDCプロバイダーです。2.4.0以前のバージョンでは、OIDCトークンエンドポイントはクライアントIDが間違っていてかつコードが期限切れの場合にのみ認可コードを拒否して……
- 2026-03-16
SSWの@tinacms/cliにおけるパストラバーサルの脆弱性
Tinaはヘッドレスコンテンツ管理システムです。バージョン2.1.7以前のTinaCMS開発サーバーのメディアアップロードハンドラにパス・トラバーサルの脆弱性が存在します。media.tsのコードは、ユーザー制御下のパス区切り文字をpath……
- 2026-03-16
SSWの@tinacms/cliにおける複数の脆弱性
Tinaはヘッドレスのコンテンツ管理システムです。2.1.8より前のバージョンでは、TinaCMS CLIの開発サーバーが寛容なCORS設定(Access-Control-Allow-Origin: *)と、以前に報告されたパストラバーサル……
- 2026-03-16
SSWの@tinacms/cliにおけるパストラバーサルの脆弱性
Tinaはヘッドレスコンテンツ管理システムです。バージョン2.1.8より前のTinaCMS CLIの開発サーバーには、パス・トラバーサルの脆弱性があるメディアエンドポイントが存在し、攻撃者が意図されたメディアディレクトリ外のファイルシステム……
- 2026-03-16
SSWの@tinacms/cliにおける複数の脆弱性
Tinaはヘッドレスコンテンツ管理システムです。2.1.8より前のバージョンでは、TinaCMS CLIの開発サーバーがViteの設定でserver.fs.strictをfalseに設定していました。これによりViteの組み込みファイルシス……
- 2026-03-16
VitoDeployのVitoにおける認証の欠如に関する脆弱性
Vitoは、サーバー管理とPHPアプリケーションの本番サーバーへのデプロイを支援するセルフホスト型のウェブアプリケーションです。バージョン3.20.3以前では、ワークフローのサイト作成アクションにおける認可チェックが欠如していたため、あるプ……
- 2026-03-16
getdbtのdbt-commonにおけるパストラバーサルの脆弱性
dbt-commonは、dbt-coreおよびアダプター実装で使用される共通のユーティリティです。バージョン1.34.2および1.37.3より前のバージョンでは、tarballアーカイブを展開する際に使用されるdbt-commonのsafe……
- 2026-03-16
CoralOSのCoral Serverにおける認証の欠如に関する脆弱性
Coral Serverは、エージェント間の通信、調整、信頼、および支払いを可能にするオープンコラボレーションインフラストラクチャです。バージョン1.1.0以前のCoral ServerのSSEエンドポイント(/sse/v1/………
- 2026-03-16
CoralOSのCoral Serverにおけるユーザ制御の鍵による認証回避に関する脆弱性
Coral Serverは、エージェントのインターネット通信、調整、信頼および支払いを可能にするオープンコラボレーション基盤です。バージョン1.1.0より前では、Coral Serverはアクティブなセッション内でエージェントとサーバー間の……