- 2026-01-06
DL Robots.txt WordPressプラグインの設定処理にサニタイズ不備が存在し、保存型XSSが発生するおそれがある脆弱性
DL Robots.txt WordPressプラグイン(バージョン1.2まで)では、一部の設定に対してサニタイズおよびエスケープ処理が行われていません。このため、管理者などの高権限ユーザーが、たとえunfiltered_html権限が無効……
JVN iPedia133rd page
- 2026-01-06
オンライン冷凍食品注文システムのNameパラメータに存在するSQLインジェクションの脆弱性
itsourcecode Online Frozen Foods Ordering System 1.0に脆弱性が確認されました。これは /contact_us.php ファイルの不明な部分に影響を及ぼします。引数 Name の操作により ……
- 2026-01-06
xbtitFM 4.1.18のfile_hosting機能の認証済み管理者によるファイルアップロードに関する脆弱性
xbtitFM 4.1.18 には、不正なファイルアップロードの脆弱性が存在します。この脆弱性により、認証された管理者権限を持つ攻撃者が file_hosting 機能を通じて任意の PHP コードをアップロードして実行できます。攻撃者は、……
- 2026-01-06
ChestnutCMSのファイルアップロード処理に検証不備が存在し任意ファイルアップロードが可能となる脆弱性
liweiyi ChestnutCMS バージョン 1.5.8 までに脆弱性が発見されました。この脆弱性は、コンポーネント Filename Handler の /dev-api/common/upload 内の FilenameUtils……
- 2026-01-06
SeaCMSにおけるe_idパラメータを通じて発生するSQLインジェクションの脆弱性
SeaCMS 13.3以前のバージョンに脆弱性が発見されました。影響を受ける要素は admin_video.php ファイルの不明な関数です。e_id 引数を操作することで、攻撃者がSQLインジェクションを発生させることができます。この攻撃……
- 2026-01-06
SeaCMSのSQLインジェクションにより、攻撃者が情報を不正取得できる脆弱性
SeaCMS 13.3までのバージョンに脆弱性が発見されました。影響を受ける要素は、js/player/dmplayer/dmku/class/mysqli.class.phpファイルの不明な関数です。page/limit引数の操作によって……
- 2026-01-06
code-projects Simple Blood Donor Management System 1.0 の /editedcampaign.php にリモートから悪用可能なSQLインジェクションの脆弱性
code-projects Simple Blood Donor Management System 1.0 に脆弱性が検出されました。影響を受ける要素は /editedcampaign.php ファイル内の不明な関数です。campaign……
- 2026-01-06
グリッドスケールX Prepayのユーザー列挙が可能となり情報漏えいが発生する脆弱性
Gridscale X Prepay(バージョン V4.2.1 未満の全てのバージョン)に脆弱性が確認されました。対象のアプリケーションには、レスポンスの違いによりユーザーの列挙が可能になる脆弱性があります。これにより、認証されていないリモ……
- 2026-01-06
BPMFlowWebkitにおける認証なしで任意のファイルをダウンロードできる脆弱性
WELLTEND TECHNOLOGYが開発したBPMFlowWebkitには、任意のファイルを読み取る脆弱性が存在しており、認証されていないリモートの攻撃者が絶対パストラバーサルを悪用することで、システム内の任意のファイルをダウンロードで……
- 2026-01-06
Medical Informatics Engineering Enterprise Healthにおける第三者が認証なしでJavaScriptを挿入できることが原因の反射型クロスサイトスクリプティングの脆弱性
Medical Informatics Engineering Enterprise Healthには、「portlet_user_id」URLパラメータに反射型クロスサイトスクリプティングの脆弱性が存在します。リモートの認証されていない攻……