- 2026-01-06
LangflowのAPIリクエスト処理により情報漏洩を引き起こす脆弱性
Langflowは、AIを活用したエージェントやワークフローの構築・デプロイのためのツールです。バージョン1.7.0より前のLangflowには「API Request」コンポーネントが存在し、フロー内で任意のHTTPリクエストを発行できま……
JVN iPedia163rd page
- 2026-01-06
Giteaのタグやブランチ作成機能におけるXSSの脆弱性
Gitea 1.22.2以前のバージョンでは、タグやブランチ作成時の検索入力ボックスがv-textではなくv-htmlを使用しているため、XSS(クロスサイトスクリプティング)が発生する可能性があります。
- 2026-01-06
イメージマジックのTIFFファイル処理によりクラッシュを引き起こす脆弱性
ImageMagickは、デジタル画像の編集や操作に使用されるフリーかつオープンソースのソフトウェアです。バージョン7.1.1-14より前のImageMagickには、細工されたTIFFファイルを処理する際にクラッシュする脆弱性が存在しまし……
- 2026-01-06
GiteaのAPIトークンにおける認可制御不備による情報漏洩の脆弱性
Gitea 1.22.3以前のバージョンでは、公開リソースに限定されたスコープのAPIトークンを受け取った際に、プライベートリソースへのアクセス制御が不適切に処理されます。
- 2026-01-06
WeblateにおけるリモートからのGit設定上書きに関する脆弱性
Weblateはウェブベースのローカライズツールです。バージョン5.15.1より前のバージョンでは、リモートからGitの設定を上書きして一部の動作を変更できました。この問題はバージョン5.15.1で修正されました。
- 2026-01-06
Gitea 1.22.5以前のプルリクエストマージ後にブランチ削除権限が不適切に強制されない脆弱性
Gitea 1.22.5以前では、プルリクエストをマージした後、ブランチ削除権限が十分に適切に強制されていませんでした。
- 2026-01-06
Giteaの添付ファイルAPIにおけるファイル拡張子検証不備で任意ファイルをアップロードできる脆弱性
Gitea 1.23.0より前のバージョンには、攻撃者が添付ファイルAPIを介して添付ファイル名を編集することで、禁止されたファイル拡張子の添付ファイルを追加できる脆弱性が存在します。
- 2026-01-06
ONLYOFFICE Docsにおけるカラーテーマ名によるクロスサイトスクリプティング(XSS)の脆弱性
ONLYOFFICE Docs 9.2.1以前のバージョンには、カラーテーマ名を介したXSSの脆弱性が存在しており、これはDocumentServerに関連しています。
- 2026-01-06
ONLYOFFICE Docsにおけるマルチレベルリスト設定画面で発生するクロスサイトスクリプティングの脆弱性
ONLYOFFICE Docs 9.2.1以前のバージョンでは、マルチレベルリスト設定ウィンドウのフォントフィールドを通じてXSSが発生する可能性があります。この脆弱性はDocumentServerに関連しています。