- 2026-03-18
Xygeniのxygeni-actionにおける埋め込まれた悪意のあるコードに関する脆弱性
xygeni-actionはXygeni ScannerのためのGitHub Actionです。2026年3月3日、侵害された資格情報にアクセスした攻撃者が、不正に難読化されたシェルコードをaction.ymlに注入する一連のプルリクエスト……
JVN iPedia125th page
- 2026-03-18
Anchore, Inc.のQuillにおける制限またはスロットリング無しのリソースの割り当てに関する脆弱性
Quillは任意のプラットフォームから簡単にMacバイナリの署名とノータリゼーションを提供します。バージョンv0.7.1以前のQuillには、Mach-Oバイナリを解析する際に境界のないメモリ割り当ての脆弱性があります。悪用するには攻撃者が……
- 2026-03-18
Anchore, Inc.のQuillにおける制限またはスロットリング無しのリソースの割り当てに関する脆弱性
Quillは任意のプラットフォームから簡単にMacバイナリの署名および公証を提供します。バージョンv0.7.1より前のQuillには、Appleの公証プロセス中にHTTPレスポンスボディのサイズ制限がない読み取り処理の脆弱性が存在します。悪……
- 2026-03-18
Anchore, Inc.のQuillにおけるサーバサイドのリクエストフォージェリの脆弱性
Quill は、あらゆるプラットフォームから簡単に mac バイナリ署名および公証を提供するツールです。バージョン v0.7.1 より前の Quill には、Apple 公証提出ログを取得しようとした際にサーバーサイドリクエストフォージェリ……
- 2026-03-18
Python Software FoundationのBlackにおける入力確認に関する脆弱性
Blackは妥協しないPythonコードフォーマッターです。BlackはコードをフォーマットするためのGitHubアクションを提供しています。このアクションは、リポジトリのpyproject.tomlから使用するBlackのバージョンを読み……
- 2026-03-18
StreetwritersのNotesnook Desktop等の複数製品におけるクロスサイトスクリプティングの脆弱性
Notesnookはユーザーのプライバシーと使いやすさを重視したノート作成アプリです。バージョン3.3.9より前のNotesnookには、Twitter/Xの埋め込みURLをレンダリングするエディターの埋め込みコンポーネントに保存型クロスサ……
- 2026-03-18
UnJS TeamのUnheadにおけるクロスサイトスクリプティングの脆弱性
Unheadはドキュメントヘッドおよびテンプレートマネージャーです。バージョン2.1.11より前では、makeTagSafe(safe.ts)内のlink.hrefチェックにString.includes()が使われており、大文字と小文字を……
- 2026-03-18
UnJS TeamのUnheadにおけるクロスサイトスクリプティングの脆弱性
Unheadはドキュメントのヘッドおよびテンプレートマネージャーです。バージョン2.1.11以前では、useHeadSafe()が回避され、SSRでレンダリングされたheadタグに任意のHTML属性(イベントハンドラを含む)を挿入される可能……
- 2026-03-18
StudioCMSにおける複数の脆弱性
StudioCMSはサーバーサイドレンダリングを採用したAstroネイティブのヘッドレスコンテンツ管理システムです。バージョン0.4.0以前では、DELETE /studiocms_api/dashboard/api-tokensエンドポイ……
- 2026-03-18
StudioCMSにおける複数の脆弱性
StudioCMSは、サーバーサイドレンダリングされたAstroネイティブのヘッドレスコンテンツ管理システムです。0.4.0以前のバージョンでは、/studiocms_api/dashboard/api-tokensエンドポイントにおいて、……