- 2026-01-06
Giteaの添付ファイルAPIにおけるファイル拡張子検証不備で任意ファイルをアップロードできる脆弱性
Gitea 1.23.0より前のバージョンには、攻撃者が添付ファイルAPIを介して添付ファイル名を編集することで、禁止されたファイル拡張子の添付ファイルを追加できる脆弱性が存在します。
JVN iPedia127th page
- 2026-01-06
ONLYOFFICE Docsにおけるカラーテーマ名によるクロスサイトスクリプティング(XSS)の脆弱性
ONLYOFFICE Docs 9.2.1以前のバージョンには、カラーテーマ名を介したXSSの脆弱性が存在しており、これはDocumentServerに関連しています。
- 2026-01-06
ONLYOFFICE Docsにおけるマルチレベルリスト設定画面で発生するクロスサイトスクリプティングの脆弱性
ONLYOFFICE Docs 9.2.1以前のバージョンでは、マルチレベルリスト設定ウィンドウのフォントフィールドを通じてXSSが発生する可能性があります。この脆弱性はDocumentServerに関連しています。
- 2026-01-06
FreshRSSにおける認証トークン予測によるセッション乗っ取りの脆弱性
FreshRSSは、無料で自己ホスト可能なRSSアグリゲーターです。バージョン1.28.0以前では、FreshRSSが記憶用認証トークンおよびチャレンジ・レスポンスのノンス生成に暗号学的に弱い乱数生成器(mt_rand()およびuniqid……
- 2026-01-06
Frappeにおける認証済みユーザーによるリモートコード実行の脆弱性
Frappeはフルスタックのウェブアプリケーションフレームワークです。バージョン14.99.6および15.88.1より前のバージョンには、特定の権限を持つ認証済みユーザーが細工されたリンクに誘導されることで、悪意のあるテンプレートがサーバー……
- 2026-01-06
n8nの自己ホスト型インスタンスで、認証されたユーザーが権限を昇格できる脆弱性
n8nはオープンソースのワークフロー自動化プラットフォームです。バージョン2.0.0より前の自己ホスト型n8nインスタンスでは、Codeノードが従来型(非タスクランナ)JavaScript実行モードで動作している場合、認証されたワークフロー……
- 2026-01-06
n8nのPython Code Nodeにおける認証ユーザーによる任意コマンド実行の脆弱性
n8nはオープンソースのワークフロー自動化プラットフォームです。バージョン1.0.0から2.0.0未満では、Pyodideを使用するPython Code Nodeにサンドボックス回避の脆弱性が存在していました。ワークフローの作成や編集権限……
- 2026-01-06
SiYuanにおけるセッションストアのハードコード暗号化キーによるセッションクッキー情報漏洩の脆弱性
SiYuanはセルフホスト型のオープンソース個人ナレッジマネジメントソフトウェアです。バージョン3.5.1以前では、SiYuan Noteアプリケーションがセッションストアにハードコードされた暗号化キーを使用しています。この安全でない運用に……
- 2026-01-06
LibreNMSのアラートルールAPIに保存型XSSが発生する脆弱性
LibreNMSは自動検出機能を備えたPHP/MySQL/SNMPベースのネットワーク監視ツールです。バージョン25.12.0より前のバージョンには、アラートルールAPIに保存型クロスサイトスクリプティング(Stored XSS)の脆弱性が……