- 2026-01-06
Google OAuthの’aud’フィールド未検証によりアカウント乗っ取りが可能となる認証不備の脆弱性
lunary-ai/lunary バージョン1.9.34には、Google OAuth統合における認証不備があり、アカウントが乗っ取られる脆弱性が存在します。アプリケーションでは、Googleによって発行されたアクセストークンの ̵……
JVN iPedia130th page
- 2026-01-06
Affiliate Meにおける管理者による不正なSQL操作が可能となる脆弱性
Affiliate Me バージョン5.0.1には、admin.phpエンドポイントにSQLインジェクションの脆弱性が存在します。この脆弱性により、認証された管理者がデータベースクエリを操作できます。攻撃者は細工されたUNIONベースのクエ……
- 2026-01-06
GreenCMSにおけるアップロード機能の悪用による任意ファイル送信の脆弱性
GreenCMS バージョン 2.3.0603 までに脆弱性が確認されています。この脆弱性は、/index.php?m=admin&c=media&a=fileconnect ファイルの不明な部分に影響を与えます。引数 up……
- 2026-01-06
PimpMyLog 1.7.14の不適切なアクセス制御により、管理者アカウントを認証なしで作成されるおそれがある脆弱性
PimpMyLog 1.7.14 には不適切なアクセス制御の脆弱性が存在し、リモートの攻撃者が設定エンドポイントを通じて認証なしに管理者アカウントを作成する可能性があります。攻撃者は消毒されていないユーザー名フィールドを悪用することで、悪意……
- 2026-01-06
Soosyze 2.0.0 のファイルアップロード機能における任意ファイル実行の脆弱性
Soosyze 2.0.0 にはファイルアップロードの脆弱性が存在し、攻撃者は埋め込まれた PHP コードを含む任意の HTML ファイルをアプリケーションにアップロードできます。攻撃者は不正なファイルアップロード機構を悪用し、機密性の高い……
- 2026-01-06
MyNETにおけるiframeインジェクションの脆弱性
airc.pt/solucoes-servicos.solucoes MyNET v.26.06およびそれ以前のバージョンには、iframeインジェクションの脆弱性があります。この脆弱性により、リモートの攻撃者がsrcパラメータを介して任意……
- 2026-01-06
MyNET v26.05以前のバージョンにおけるmsgパラメータを介した反射型クロスサイトスクリプティング(XSS)の脆弱性
MyNET v26.05以前のバージョンには、msgパラメータを通じた反射型クロスサイトスクリプティング(XSS)の脆弱性が存在することが判明しました。
- 2026-01-06
MyNETのsrcパラメータにより発生するクロスサイトスクリプティングの脆弱性
MyNET v26.05以前のバージョンには、srcパラメータを通じて反射型クロスサイトスクリプティング(XSS)の脆弱性が存在することが判明しました。
- 2026-01-06
SCREEN SFT DAB 600/C のユーザー管理APIにおける認証回避による情報漏洩の脆弱性
Screen SFT DAB 600/Cのファームウェアバージョン1.9.3およびそれ以前には、ユーザ管理APIにおいて不適切なアクセス制御の脆弱性が存在します。この脆弱性により、認証されていないリクエストによって、アカウント名やクライアン……
- 2026-01-06
D-Link DSL-124の設定ファイル情報が漏洩する脆弱性
D-Link DSL-124 ME_1.00には、認証されていない攻撃者がPOSTリクエストを通じてルーターの設定情報を取得できる設定ファイル情報漏洩の脆弱性が存在します。攻撃者はルーターの設定エンドポイントに特定のPOSTリクエストを送信……