- 2026-01-06
PDストアの安全でないデシリアライズ処理によりリモートコード実行が可能となる脆弱性
悪意のあるRaftノードがPDストア内の安全でないHessianデシリアライズを悪用し、リモートコードを実行される脆弱性が存在します。この問題に対する修正として、クラスターメンバーシップに対するIPベースの認証が強化され、Hessianのシ……
JVN iPedia115th page
- 2026-01-06
WinRARのレポート生成機能に存在する情報漏えいの脆弱性
Rarlab WinRAR 7.11 のレポート生成機能にはクロスサイトスクリプティング(XSS)の脆弱性が存在しており、攻撃者はコンピュータのユーザー名や生成されたレポートディレクトリ、IPアドレスなどのユーザー情報を取得できる可能性があ……
- 2026-01-06
libxmljsにおけるサービス拒否(DoS)の脆弱性
libxmljs 1.0.11 には、特別に細工された XML ドキュメントを解析する際に脆弱性が存在します。entity_ref および entity_decl ノードの内部 _ref プロパティにアクセスすると、セグメンテーションフォー……
- 2026-01-06
Netgear EX8000におけるスイッチ状況処理中に発生するコマンドインジェクションの脆弱性
Netgear EX8000 V1.0.0.126には、switch_status関数を介してコマンドインジェクションの脆弱性が存在することが確認されました。
- 2026-01-06
Strapiのパスワード最大長未制限により認証が不十分となる問題に関する脆弱性
StrapiはオープンソースのヘッドレスCMSです。@strapi/coreパッケージのバージョン5.10.3以前では、bcryptjsを使用したパスワードハッシュ化時にパスワードの最大長が強制されていません。bcryptjsは72バイトを……
- 2026-01-06
FastAPI GuardにおけるX-Forwarded-Forヘッダー処理の不備により偽装が可能となる脆弱性
FastAPI Guardは、IP制御、リクエストのログ記録、侵入試行の検出を提供するFastAPI向けのセキュリティライブラリです。バージョン2.0.0未満において、HTTPヘッダーインジェクションの脆弱性が確認されています。攻撃者がX-……
- 2026-01-06
IBM Concertにおけるヒープメモリ消去不備による情報漏えいの脆弱性
IBM Concert 1.0.0から2.1.0には、ヒープメモリの不適切なクリアにより、リモートの攻撃者が割り当てられたメモリから機密情報を取得できる可能性があります。
- 2026-01-06
ImageMagick 7.1.1-44以前のマルチスペクトルMIFF画像処理における、packet_sizeの不適切な取り扱いにより、すべてのチャンネルが任意の順序で描画される脆弱性
ImageMagick 7.1.1-44以前のマルチスペクトルMIFF画像処理において、packet_sizeの取り扱いに問題があり、すべてのチャンネルが任意の順序で描画されることに関連しています。
- 2026-01-06
EyouCMSのarcpagelistにおけるデシリアライズ処理の脆弱性
EyouCMS バージョン 1.7.7 までに脆弱性が発見されました。影響を受ける要素は、コンポーネント arcpagelist ハンドラーの application/api/controller/Ajax.php ファイル内で使用されてい……
- 2026-01-06
Linksys E2500 3.0.04.002のvsftpd設定におけるchroot_local_user有効化による不正アクセスと権限昇格の脆弱性
Linksys E2500 3.0.04.002では、vsftpdの設定ファイルでchroot_local_userオプションが有効になっています。これにより、システムファイルへの不正アクセスが可能になったり、権限が昇格したり、侵害されたサ……