- 2026-01-06
Strapiのパスワード最大長未制限により認証が不十分となる問題に関する脆弱性
StrapiはオープンソースのヘッドレスCMSです。@strapi/coreパッケージのバージョン5.10.3以前では、bcryptjsを使用したパスワードハッシュ化時にパスワードの最大長が強制されていません。bcryptjsは72バイトを……
JVN iPedia152nd page
- 2026-01-06
FastAPI GuardにおけるX-Forwarded-Forヘッダー処理の不備により偽装が可能となる脆弱性
FastAPI Guardは、IP制御、リクエストのログ記録、侵入試行の検出を提供するFastAPI向けのセキュリティライブラリです。バージョン2.0.0未満において、HTTPヘッダーインジェクションの脆弱性が確認されています。攻撃者がX-……
- 2026-01-06
IBM Concertにおけるヒープメモリ消去不備による情報漏えいの脆弱性
IBM Concert 1.0.0から2.1.0には、ヒープメモリの不適切なクリアにより、リモートの攻撃者が割り当てられたメモリから機密情報を取得できる可能性があります。
- 2026-01-06
ImageMagick 7.1.1-44以前のマルチスペクトルMIFF画像処理における、packet_sizeの不適切な取り扱いにより、すべてのチャンネルが任意の順序で描画される脆弱性
ImageMagick 7.1.1-44以前のマルチスペクトルMIFF画像処理において、packet_sizeの取り扱いに問題があり、すべてのチャンネルが任意の順序で描画されることに関連しています。
- 2026-01-06
EyouCMSのarcpagelistにおけるデシリアライズ処理の脆弱性
EyouCMS バージョン 1.7.7 までに脆弱性が発見されました。影響を受ける要素は、コンポーネント arcpagelist ハンドラーの application/api/controller/Ajax.php ファイル内で使用されてい……
- 2026-01-06
Linksys E2500 3.0.04.002のvsftpd設定におけるchroot_local_user有効化による不正アクセスと権限昇格の脆弱性
Linksys E2500 3.0.04.002では、vsftpdの設定ファイルでchroot_local_userオプションが有効になっています。これにより、システムファイルへの不正アクセスが可能になったり、権限が昇格したり、侵害されたサ……
- 2026-01-06
ImageMagickのMIFF画像処理における情報漏洩の脆弱性
ImageMagick の 7.1.1-44 より前のバージョンでは、MIFF 画像処理において SetQuantumFormat を使用した後、画像のビット深度が不適切に扱われる問題が存在します。
- 2026-01-06
WordPress用「Stop User Enumeration」プラグインのバージョン1.7.3未満における、URLエンコードを利用したAPIパスの制限回避による認証不要のユーザー列挙の脆弱性
Stop User Enumeration WordPressプラグインのバージョン1.7.3未満は、認証されていないユーザーによるREST API /wp-json/wp/v2/users/ へのリクエストをブロックしますが、APIパスを……
- 2026-01-06
IBM Aspera Faspex 5.0.0から5.0.14.1におけるHTMLインジェクションの脆弱性
IBM Aspera Faspex 5のバージョン5.0.0から5.0.14.1には、HTMLインジェクションの脆弱性が存在します。リモートの攻撃者が悪意のあるHTMLコードを注入することで、被害者がページを閲覧した際に、そのコードがWeb……
- 2026-01-06
IBM Aspera Faspex 5.0.0から5.0.14.1に認証済みユーザーがパッケージ識別子を列挙して機密情報を取得できる脆弱性
IBM Aspera Faspex 5のバージョン5.0.0から5.0.14.1には、認証済みユーザーがパッケージ識別子を列挙することで、機密情報(データの有効期限など)を取得できる脆弱性が存在します。