- 2026-01-06
Open-WebUIにおける認証回避により情報漏洩が発生する脆弱性
Open-WebUI <=0.6.32 の /api/config エンドポイントには認証バイパスの脆弱性が存在します。このエンドポイントでは適切な認証および認可制御が実施されていません。そのため、認証されていないリモート攻撃者が機密……
JVN iPedia155th page
- 2026-01-06
Ruijie RG-BCR600WのWi-Fi設定機能における不正なコマンド実行が可能となる脆弱性
Ruijie RG-BCR RG-BCR600W にはOSコマンドインジェクションの脆弱性が存在しており、攻撃者は /usr/lib/lua/luci/controller/admin/common_quick_config.lua 内の ……
- 2026-01-06
AnythingLLMにおける認証なしで情報が取得される脆弱性
AnythingLLM v1.8.5には、/api/workspacesエンドポイントに認証バイパスの脆弱性があります。このエンドポイントは適切な認証チェックが実装されていないため、認証されていないリモートの攻撃者が、設定されているすべての……
- 2026-01-06
Ruijie RG-BCR600Wのrestart_modulesにおける任意OSコマンド実行(コマンドインジェクション)の脆弱性
Ruijie RG-BCR RG-BCR600W には OS コマンドインジェクションの脆弱性が存在し、攻撃者は /usr/lib/lua/luci/controller/admin/common.lua 内の restart_module……
- 2026-01-06
InvoicePlaneにおける未検証の所有権が原因の情報漏えいの脆弱性
InvoicePlaneのコミットdebb446cには不適切なアクセス制御の脆弱性があります。invoices/viewハンドラーは、請求書データを返す前に所有権を確認していません。
- 2026-01-06
MiczFlor RPi-Jukebox-RFIDのrss-mp3.phpにおける安全でないデシリアライズ処理によりリモートから悪用可能な脆弱性
MiczFlor RPi-Jukebox-RFIDプロジェクトのrss-mp3.phpスクリプト(コミット4b2334f0ae0e87c0568876fc41c48c38aa9a7014、2025年10月7日まで)には、安全でないデシリアラ……
- 2026-01-06
Tinyproxyのstrip_return_port関数に整数オーバーフローが発生する脆弱性
Tinyproxy 1.11.2 までのバージョンには、src/reqs.c 内の strip_return_port() 関数に整数オーバーフローの脆弱性が存在します。
- 2026-01-06
Cinnamon kotaemonにおけるZIPファイル検証不備によるリソース消費を引き起こす脆弱性
Cinnamon kotaemon 0.11.0 に脆弱性が発見されました。libsktemktemindexfileui.py の _may_extract_zip 関数では、アップロードされた ZIP ファイルの内容を十分に検証していま……
- 2026-01-06
JXL 9インチ車載AndroidプレーヤーのBluetoothファームウェアにおける細工されたLMPパケットによるサービス拒否の脆弱性
JXLの9インチ車載用AndroidダブルDINプレーヤー(Android v12.0)のBluetoothファームウェアに問題があり、攻撃者が細工されたLink Manager Protocol(LMP)パケットを送信すると、サービス拒否……
- 2026-01-06
SpiceDBの特定スキーマ処理によりアクセス権限不足が生じる脆弱性
SpiceDBは、セキュリティが重要なアプリケーションの権限を作成し、管理するためのオープンソースデータベースシステムです。バージョン1.47.1より前のSpiceDBでは、次のような特徴を持つスキーマの場合に問題が発生します。パーミッショ……