- 2026-01-06
ImageMagickのMIFF画像処理における情報漏洩の脆弱性
ImageMagick の 7.1.1-44 より前のバージョンでは、MIFF 画像処理において SetQuantumFormat を使用した後、画像のビット深度が不適切に扱われる問題が存在します。
JVN iPedia116th page
- 2026-01-06
WordPress用「Stop User Enumeration」プラグインのバージョン1.7.3未満における、URLエンコードを利用したAPIパスの制限回避による認証不要のユーザー列挙の脆弱性
Stop User Enumeration WordPressプラグインのバージョン1.7.3未満は、認証されていないユーザーによるREST API /wp-json/wp/v2/users/ へのリクエストをブロックしますが、APIパスを……
- 2026-01-06
IBM Aspera Faspex 5.0.0から5.0.14.1におけるHTMLインジェクションの脆弱性
IBM Aspera Faspex 5のバージョン5.0.0から5.0.14.1には、HTMLインジェクションの脆弱性が存在します。リモートの攻撃者が悪意のあるHTMLコードを注入することで、被害者がページを閲覧した際に、そのコードがWeb……
- 2026-01-06
IBM Aspera Faspex 5.0.0から5.0.14.1に認証済みユーザーがパッケージ識別子を列挙して機密情報を取得できる脆弱性
IBM Aspera Faspex 5のバージョン5.0.0から5.0.14.1には、認証済みユーザーがパッケージ識別子を列挙することで、機密情報(データの有効期限など)を取得できる脆弱性が存在します。
- 2026-01-06
Ollama APIの認証回避により不正操作が可能な脆弱性
OllamaプラットフォームのAPIエンドポイント(バージョンv0.12.3以前を含む)には、重大な認証バイパスの脆弱性が存在します。この脆弱性により、プラットフォームは複数のAPIエンドポイントを認証なしで公開し、リモートの攻撃者が認可さ……
- 2026-01-06
Ruijie RG-BCR RG-BCR600Wにおける認証なしで任意のコマンドが実行可能となる脆弱性
Ruijie RG-BCR RG-BCR600WにはOSコマンドインジェクションの脆弱性が存在し、攻撃者は /usr/lib/lua/luci/controller/admin/common_tcpdump.lua 内の run_tcpdu……
- 2026-01-06
WPLMSプラグインにおけるDOMベースのXSSの脆弱性
VibeThemesのWPLMS wplms_pluginには、ウェブページ生成時の入力を適切に無害化しない(クロスサイトスクリプティング)脆弱性が存在するため、DOMベースのXSSが発生する可能性があります。この問題は、バージョンn/aか……
- 2026-01-06
Ruijie RG-EW1200 V1.00のmodule_setにおけるコマンドインジェクションの脆弱性
Ruijie RG-EW1200 EW_3.0(1)B11P227_EW1200_11130208RG-EW1200 V1.00 には、OSコマンドインジェクションの脆弱性が存在しています。攻撃者は、/usr/local/lua/dev_c……
- 2026-01-06
changedetection.ioにおけるウォッチ更新APIにより保存されたクロスサイトスクリプティングの脆弱性
changedetection.ioは無料のオープンソースWebページ変更検出ツールです。バージョン0.50.34未満のchangedetection.ioのウォッチ更新APIにはセキュリティチェックが不十分であったため、ストアド型クロスサ……
- 2026-01-06
Ruijie RG-BCR600Wのcheck_changesにおけるOSコマンドインジェクションの脆弱性
Ruijie RG-BCR RG-BCR600WにはOSコマンドインジェクションの脆弱性が存在し、攻撃者は /usr/lib/lua/luci/controller/admin/common.lua 内の check_changes に細工……