- 2026-01-06
Weblateにおける任意ファイル読み取りの脆弱性
Weblateはウェブベースのローカライズツールです。バージョン5.15.1より前のバージョンでは、リポジトリ内で細工されたシンボリックリンクを使用することで、サーバーのファイルシステムから任意のファイルを読み取ることができました。この問題……
JVN iPedia124th page
- 2026-01-06
Piranha CMSにおける画像アップロード機能の名前欄に保存型XSSが発生する脆弱性
Piranha CMS v12.1のMediaモジュールには格納型クロスサイトスクリプティング(XSS)の脆弱性が存在します。この脆弱性により、攻撃者は細工されたペイロードをNameフィールドに注入することで、任意のWebスクリプトやHTM……
- 2026-01-06
Parse ServerのInstagram認証アダプターにおけるSSRFを利用した認証回避の脆弱性
Parse Serverは、Node.jsを実行できるあらゆるインフラストラクチャにデプロイ可能なオープンソースのバックエンドです。バージョン8.6.2および9.1.1-alpha.1より前では、Instagram認証アダプターが`auth……
- 2026-01-06
Piranha CMSのPage Settingsモジュールにおける保存型XSSの脆弱性
Piranha CMS v12.1のPage Settingsモジュールには、保存型クロスサイトスクリプティング(XSS)の脆弱性が存在します。攻撃者は、細工したペイロードをExcerptフィールドに挿入することで、任意のウェブスクリプトや……
- 2026-01-06
FreshRSSにおける429 Retry-Afterレスポンス処理に起因するサービス拒否を引き起こす脆弱性
FreshRSSは無料でセルフホスト可能なRSSアグリゲーターです。バージョン1.27.0から1.28.0未満では、攻撃者がプロキシを通じて多数のフィードに対して429 Retry-Afterを返すように改変すると、インスタンス上のフィード……
- 2026-01-06
Frappe Framework v15.89.0のAttachmentsモジュールにおける任意のXMLファイルアップロードによるコード実行の脆弱性
Frappe Framework v15.89.0のAttachmentsモジュールには、任意のファイルをアップロードできる脆弱性が存在しており、攻撃者が細工したXMLファイルをアップロードすることで任意のコードを実行される可能性があります……
- 2026-01-06
cbor2のCBORDecoderにおける情報漏洩の脆弱性
cbor2は、Concise Binary Object Representation(CBOR)シリアル化フォーマットのエンコードとデコードを提供します。バージョン3.0.0から5.8.0未満のバージョンでは、CBORDecoderインス……
- 2026-01-06
Umbraco CMS v16.3.3のPDFファイルアップロード機能における任意コード実行の脆弱性
Umbraco CMS v16.3.3には、攻撃者が細工したPDFファイルをアップロードすることで任意のコードを実行できる任意ファイルアップロードの脆弱性が存在します。なお、この脆弱性については、Umbraco CMS自体に責任があるのでは……
- 2026-01-06
FileRiseのSVGファイルアップロード機能におけるクロスサイトスクリプティングの脆弱性
FileRiseは、セルフホスト型のWebファイルマネージャーおよびWebDAVサーバーです。バージョン2.7.1より前のバージョンには、共有およびダウンロードエンドポイントで提供される、ユーザーがアップロードしたブラウザでレンダリング可能……
- 2026-01-06
Pagekitにおける認可不備により不正アクセスが可能となる脆弱性
Pagekit CMS v1.0.18 には Insecure Direct Object Reference (IDOR) の脆弱性が存在し、攻撃者が権限を昇格させることができます。