- 2026-02-25
Mattermost, Inc.のMattermost ServerにおけるTime-of-check Time-of-use (TOCTOU) 競合状態の脆弱性
Mattermostのバージョン10.11.xのうち10.11.9以下では、データ取得時にチャネルメンバーシップの適切な検証が行われません。そのため、無効化されたユーザーがレースコンディションを悪用して、アクセス権のないチーム名をcommo……
NVNB88th page
- 2026-02-25
mintplexlabsのanythingllmにおける複数の脆弱性
AnythingLLMは、コンテンツの断片を任意のLLMがチャット中に参照として使用できるコンテキストに変換するアプリケーションです。コミットe287fab56089cf8fcea9ba579a3ecdeca0daa313以前では、パスワー……
- 2026-02-25
Grafana LabsのGrafanaにおける情報漏えいに関する脆弱性
注釈が有効になっている公開ダッシュボードは、注釈のタイムレンジを公開ダッシュボードのロックされたタイムレンジに制限していませんでした。つまり、特定のダッシュボード上で表示される注釈の全履歴を、ロックされたタイムレンジの外側にあるものも含めて……
- 2026-02-25
RustFSにおけるスプーフィングによる認証回避に関する脆弱性
RustFSはRustで構築された分散オブジェクトストレージシステムです。alpha.78バージョン以前のバージョンでは、IPベースのアクセス制御が回避される可能性がありました。get_condition_valuesは信頼されたプロキシの……
- 2026-02-25
OWASPのOWASP ModSecurity Core Rule Set (CRS)における特殊要素の複数インスタンスのフィルタリングに関する脆弱性
OWASPコアルールセット(CRS)は、互換性のあるウェブアプリケーションファイアウォールで使用される汎用的な攻撃検出ルールのセットです。バージョン4.22.0および3.3.8以前には、現在のルール922110でマルチパートリクエストの複数……
- 2026-02-25
angularにおけるクロスサイトスクリプティングの脆弱性
Angularは、TypeScript/JavaScriptおよびその他の言語を使用してモバイルおよびデスクトップのウェブアプリケーションを構築するための開発プラットフォームです。バージョン19.2.18、20.3.16、21.0.7、およ……
- 2026-02-25
vLLMにおけるログファイルからの情報漏えいに関する脆弱性
vLLMは大規模言語モデル(LLM)の推論およびサービングエンジンです。バージョン0.8.3から0.14.1未満までの間に、vLLMのマルチモーダルエンドポイントに無効な画像が送信されると、PILがエラーを投げます。vLLMはこのエラーをク……
- 2026-02-25
markdown-it projectのmarkdown-itにおける非効率的な正規表現の複雑さに関する脆弱性
パッケージmarkdown-itのバージョン13.0.0から14.1.1以前では、linkify関数内で正規表現/*+$/を使用しているため、正規表現のサービス拒否(ReDoS)に対して脆弱です。攻撃者は長いアスタリスクの連続に続いて一致し……
- 2026-02-25
facturascriptsにおけるクロスサイトスクリプティングの脆弱性
FacturaScriptsはオープンソースの企業資源計画および会計ソフトウェアです。2025年8月以前のバージョンにはFacturaScriptsに反射型XSSの脆弱性が存在していました。この問題はエラーメッセージの表示方法にあります。T……
- 2026-02-25
Ralph SlootenのMailpitにおける複数の脆弱性
Mailpitは開発者向けのメールテストツールおよびAPIであり、バージョン1.28.3以前のSMTPサーバーには、RCPT TOおよびMAIL FROMアドレス検証に使用される正規表現の不備によりヘッダーインジェクションの脆弱性が存在して……