- 2025-12-26
SVGファイルアップロード機能による保存型クロスサイトスクリプティング(XSS)の脆弱性
WBCE CMS 1.6.1 には、認証済みの攻撃者がメディアマネージャーを通じて細工された SVG ファイルをアップロードすることで悪意のある JavaScript を注入できる、保存型クロスサイトスクリプティング脆弱性が存在します。攻撃……
JVN iPedia176th page
- 2025-12-26
WebsiteBaker 2.13.3のSVGアップロード機能における保存型XSSの脆弱性
WebsiteBaker 2.13.3 には、認証済みユーザーが悪意のある JavaScript を埋め込んだ SVG ファイルをアップロードできる保存型クロスサイトスクリプティングの脆弱性が存在します。攻撃者はスクリプトタグを含む細工され……
- 2025-12-26
WebsiteBakerにおける認証済み任意ファイル削除の脆弱性
WebsiteBaker 2.13.3 には、認証済みの攻撃者がディレクトリパスのパラメータを操作することで任意のファイルを削除できるディレクトリトラバーサルの脆弱性が存在します。攻撃者は、細工した GET リクエストを /admin/me……
- 2025-12-26
日本語に翻訳されたタイトル:著作権テキスト編集機能のクロスサイトスクリプティング(XSS)の脆弱性
Rukovoditel 3.4.1には、認証済みの攻撃者がストアド型クロスサイトスクリプティング(XSS)攻撃により悪意のあるスクリプトを挿入できる脆弱性が存在します。攻撃者はアプリケーションの著作権テキストにiframeやスクリプトによる……
- 2025-12-26
認証済み攻撃者がコメント欄にXSSを仕込める脆弱性
Rukovoditel 3.4.1 には複数の蓄積型クロスサイトスクリプティング(XSS)脆弱性が存在し、認証された攻撃者が悪意のあるスクリプトを注入することが可能です。攻撃者はプロジェクトタスクのコメントにXSSペイロードを挿入することで……
- 2025-12-26
D-Link DAP-1325のアクセス制御不備による情報漏えい脆弱性
D-Link DAP-1325のファームウェアバージョン1.01には、認証されていない攻撃者が認証なしでデバイスの設定情報をダウンロードできるアクセス制御の不備による脆弱性が存在します。攻撃者は /cgi-bin/ExportSetting……
- 2025-12-26
Zomplogの認証済みリモートコード実行の脆弱性
Zomplog 3.9 にはリモートコード実行の脆弱性が存在し、認証された攻撃者がファイル操作エンドポイントを利用して任意のPHPコードを挿入および実行できます。攻撃者は悪意のあるJavaScriptファイルをアップロードし、それをPHPフ……
- 2025-12-26
ページ作成機能に存在するクロスサイトスクリプティングの脆弱性
Zomplog 3.9 には、認証済みユーザーが新しいページを作成する際に悪意のあるスクリプトを挿入できるクロスサイトスクリプティングの脆弱性が含まれています。攻撃者は、悪意のある画像の src 属性や onerror 属性を細工することで……
- 2025-12-25
Toast Design の WordPress 用 Find Unused Images における認証の欠如に関する脆弱性
Toast Design の WordPress 用 Find Unused Images には、認証の欠如に関する脆弱性が存在します。
- 2025-12-25
macEnhance の MacForge における重要なリソースに対する不適切なパーミッションの割り当てに関する脆弱性
macEnhance の MacForge には、重要なリソースに対する不適切なパーミッションの割り当てに関する脆弱性が存在します。