- 2026-01-06
Mattermostにおける認証済みユーザーが通話を開始できるクロスサイトリクエストフォージェリ(CSRF)の脆弱性
Mattermost バージョン 11.0.x <= 11.0.4、10.12.x <= 10.12.2、10.11.x <= 10.11.6、および Mattermost Calls バージョン <=1.10.0 ……
JVN iPedia154th page
- 2026-01-06
n8nのウェブフック処理における悪意のあるスクリプト保存・実行の脆弱性
n8nはオープンソースのワークフロー自動化プラットフォームです。バージョン1.114.0より前のバージョンでは、「Respond to Webhook」ノードを使用する際にストアド型クロスサイトスクリプティング(XSS)の脆弱性が発生する可……
- 2026-01-06
Piranha CMSにおけるページ管理画面で発生する保存型XSSの脆弱性
Piranha CMS v12.0 の /manager/pages コンポーネントには、保存型クロスサイトスクリプティング(XSS)の脆弱性が存在します。この脆弱性により、攻撃者がページを作成し、細工されたペイロードをMarkdownブロ……
- 2026-01-06
BusyBox wgetにおいて制御文字が許可されることによる挿入の脆弱性
BusyBox wget バージョン 1.3.7 までには、HTTP リクエストターゲット(パスやクエリ)内で生の CR(0x0D)や LF(0x0A)、その他の C0 制御バイトを受け入れてしまう問題が存在していました。この問題により、リ……
- 2026-01-06
Ilevia EVE X1 Server の /bh_web_backend に認証回避の脆弱性
Ilevia EVE X1 Server Firmware バージョン v4.7.18.0.eden およびそれ以前、Logic バージョン v6.00 – 2025_07_21 にはクロスサイトリクエストフォージェリ(CSRF……
- 2026-01-06
FreshRSSの1.27.1未満に発生するログアウトCSRFによるサービス拒否の脆弱性
FreshRSSは、無料でセルフホスト可能なRSSアグリゲーターです。バージョン1.27.1より前のバージョンには、<track src>を通じてサービス拒否(DoS)につながるログアウトのクロスサイトリクエストフォージェリ(C……
- 2026-01-06
OneFlow v0.9.0 の入力検証不備により任意コード実行が可能となる脆弱性
OneFlow v0.9.0 には不適切な入力検証の脆弱性が存在し、攻撃者はブロードキャストや型変換中に Python シーケンスをネイティブコードに追加することで、セグメンテーションフォールトを引き起こす可能性があります。
- 2026-01-06
非特権ユーザーがGPUを不適切に操作することで発生する読み取りや解放後使用の脆弱性
非特権ユーザーがインストールおよび実行したソフトウェアは、適切でないGPUシステムコールを実行することにより、古いデータの読み取りやカーネル例外、解放後使用(Use After Free)が発生する恐れがあります。古いデータにはリファレンス……
- 2026-01-06
PyTorchにおけるプロファイラーが正しく停止しないことによるサービス拒否が発生する脆弱性
PyTorch v2.5およびv2.7.1で問題が発見されました。profiler.stop()を省略すると、torch.profiler.profile(PythonTracer)が終了処理中にクラッシュしたりハングアップしたりして、サー……
- 2026-01-06
Requarks Wiki.jsの認証セッションが不完全なまま継続される脆弱性
Requarks Wiki.js 2.5.307 では、ユーザーがログアウトした際にアクティブな JWT トークンが適切に取り消されたり無効化されたりしません。その結果、以前に発行されたトークンが有効なままとなり、ログアウト後でもシステムへ……