- 2026-01-06
Ollama APIの認証回避により不正操作が可能な脆弱性
OllamaプラットフォームのAPIエンドポイント(バージョンv0.12.3以前を含む)には、重大な認証バイパスの脆弱性が存在します。この脆弱性により、プラットフォームは複数のAPIエンドポイントを認証なしで公開し、リモートの攻撃者が認可さ……
JVN iPedia153rd page
- 2026-01-06
Ruijie RG-BCR RG-BCR600Wにおける認証なしで任意のコマンドが実行可能となる脆弱性
Ruijie RG-BCR RG-BCR600WにはOSコマンドインジェクションの脆弱性が存在し、攻撃者は /usr/lib/lua/luci/controller/admin/common_tcpdump.lua 内の run_tcpdu……
- 2026-01-06
WPLMSプラグインにおけるDOMベースのXSSの脆弱性
VibeThemesのWPLMS wplms_pluginには、ウェブページ生成時の入力を適切に無害化しない(クロスサイトスクリプティング)脆弱性が存在するため、DOMベースのXSSが発生する可能性があります。この問題は、バージョンn/aか……
- 2026-01-06
Ruijie RG-EW1200 V1.00のmodule_setにおけるコマンドインジェクションの脆弱性
Ruijie RG-EW1200 EW_3.0(1)B11P227_EW1200_11130208RG-EW1200 V1.00 には、OSコマンドインジェクションの脆弱性が存在しています。攻撃者は、/usr/local/lua/dev_c……
- 2026-01-06
changedetection.ioにおけるウォッチ更新APIにより保存されたクロスサイトスクリプティングの脆弱性
changedetection.ioは無料のオープンソースWebページ変更検出ツールです。バージョン0.50.34未満のchangedetection.ioのウォッチ更新APIにはセキュリティチェックが不十分であったため、ストアド型クロスサ……
- 2026-01-06
Ruijie RG-BCR600Wのcheck_changesにおけるOSコマンドインジェクションの脆弱性
Ruijie RG-BCR RG-BCR600WにはOSコマンドインジェクションの脆弱性が存在し、攻撃者は /usr/lib/lua/luci/controller/admin/common.lua 内の check_changes に細工……
- 2026-01-06
n8nのGitノードにおけるリモートリポジトリのpre-commitフックによる任意コード実行の脆弱性
n8nはオープンソースのワークフロー自動化プラットフォームです。バージョン1.113.0未満では、Cloud版とSelf-Hosted版の両方で利用可能なGit Nodeコンポーネントにリモートコード実行の脆弱性が存在します。悪意のある攻撃……
- 2026-01-06
Galetteにおけるグループマネージャーが寄付や取引の権限を回避できる脆弱性
Galetteは非営利団体向けの会員管理ウェブアプリケーションです。バージョン1.1.4以降1.2.0未満では、グループマネージャーとしてログインしたユーザーが寄付および取引に対する本来の制限を回避できる場合がありました。本件はバージョン1……
- 2026-01-06
MattermostのリダイレクトURL検証不備によりオープンリダイレクトが可能となる脆弱性
Mattermost バージョン 10.11.x <= 10.11.4 では、/error ページにおけるリダイレクト URL の検証が不十分であるため、攻撃者は細工したリンクを新しいタブで開かせ、被害者を悪意のあるサイトへリダイレク……
- 2026-01-06
Teledyne FLIR AX8における認証なしで任意ファイルをアップロードできる脆弱性
Teledyne FLIR AX8 バージョン 1.46 までには、/upload.php ファイルの File 引数を悪用することで、制限なくファイルをアップロードできる脆弱性が存在します。リモートから攻撃することが可能で、既にエクスプロ……