- 2026-02-17
IvantiのIvanti Endpoint ManagerにおけるSQL インジェクションの脆弱性
Ivanti Endpoint Managerのバージョン2024 SU5以前にはSQLインジェクションの脆弱性が存在し、リモートの認証済み攻撃者がデータベースから任意のデータを読み取ることが可能です。
JVN iPedia154th page
- 2026-02-17
dormakaba Groupのdormakaba access manager 92 00-k5 Firmware等の複数製品における最小権限の違反に関する脆弱性
Webサーバを提供するバイナリがroot権限で動作しており、基本的にWeb UIから起動されたすべてのアクションを実行します。これは最小権限の原則に反しています。もし攻撃者が他の脆弱性を利用してシステム上でコードを実行できる場合、最高権限で……
- 2026-02-17
OmranのFikir Odalari AdminPandoにおけるSQL インジェクションの脆弱性
Fikir Odalari AdminPando 1.0.1 の 2026-01-26 より前のバージョンのログイン機能には、SQL インジェクションの脆弱性が存在します。username と password パラメータが SQL インジ……
- 2026-02-17
HCL Technologies Limitedのbigfix complianceにおける認可されていない制御領域への重要情報の漏えいに関する脆弱性
HCL BigFix Complianceにおいて機密情報が漏洩することで、リモート攻撃者がWEB-INFディレクトリ内のファイルにアクセスできる可能性があります。これらのファイルにはJavaクラスファイルや設定情報が含まれており、アプリケ……
- 2026-02-17
PHPSUGARのPHP Melodyにおけるクロスサイトスクリプティングの脆弱性
PHP Melody バージョン 3.0 には、categories、import、および user import ファイルに複数の非永続的クロスサイトスクリプティング(XSS)脆弱性が含まれています。攻撃者は未検証のパラメータを介して悪意……
- 2026-02-17
GUnetのOpen eClass Platformにおける危険なタイプのファイルの無制限アップロードに関する脆弱性
GUnet OpenEclass 1.7.3では、認証済みユーザーがファイルのアップロード時にファイル拡張子の制限を回避できます。攻撃者はPHPファイルの名前を .php3 または .PhP に変更することでウェブシェルをアップロードし、サ……
- 2026-02-17
GUnetのOpen eClass PlatformにおけるSQL インジェクションの脆弱性
GUnet OpenEclass 1.7.3には複数のSQLインジェクション脆弱性が存在し、認証済みの攻撃者が検証されていないパラメータを通じてデータベースクエリを操作できます。攻撃者はagendaモジュールの「month」パラメータやその……
- 2026-02-17
マイクロソフトの.NETにおける特殊要素の欠如に対する不適切な処理に関する脆弱性
特殊な要素が欠落している場合に.NETで不適切な処理が行われるため、不正な攻撃者がネットワーク上でなりすますことが可能になります。
- 2026-02-17
ChatterMateにおけるクロスサイトスクリプティングの脆弱性
ChatterMateはノーコードのAIチャットボットエージェントフレームワークです。バージョン1.0.8以下では、チャット入力として悪意のあるHTMLやJavaScriptペイロードが受け入れられ、実行されます。具体的には、javascr……
- 2026-02-17
マイクロソフトのAzure Resource Managerにおけるアクセス制御に関する脆弱性
Azure Resource Managerの不適切なアクセス制御により、認可された攻撃者はネットワーク越しに特権を昇格させることが可能です。