- 2026-05-13
Apache Software FoundationのApache-airflow-providers-keycloakにおけるクロスサイトリクエストフォージェリの脆弱性
`apache-airflow-providers-keycloak` の Keycloak 認証マネージャは、ログインおよびログインコールバックフローで OAuth 2.0 の `state` パラメータを生成または検証せず、PKCE を……
JVN iPedia18th page
- 2026-05-13
V2BoardにおけるSQL インジェクションの脆弱性
V2Boardバージョン1.7.4以前には、ORDER BY句を介したSQLインジェクションの脆弱性があります。app/Http/Controllers/Admin/UserController.phpにて、ユーザー入力のsortパラメータ……
- 2026-05-13
V2BoardにおけるGET リクエストにおけるクエリ文字列からの情報漏えいに関する脆弱性
V2Boardのバージョン1.7.4までのUniProxyController.php(app/Http/Controllers/Server/UniProxyController.php)に、GETパラメータ経由でサーバートークンが露出す……
- 2026-05-13
V2Boardにおけるクロスサイトスクリプティングの脆弱性
V2Board バージョン 1.7.4 までに存在するクロスサイトスクリプティング(XSS)の脆弱性です。theme 設定の custom_html フィールドは、public/theme/v2board/dashboard.blade.p……
- 2026-05-11
yeti-platformのyetiにおけるコードインジェクションの脆弱性
yeti-platformのyeti 2.1.12以前のカスタムテンプレートエクスポート機能にはSSTI(サーバーサイドテンプレートインジェクション)脆弱性が存在し、攻撃者がアプリケーションサーバー上でコードを実行できる可能性があります。
- 2026-05-11
Traccar LtdのTraccarにおけるブラインド XPath インジェクションの脆弱性
TraccarはオープンソースのGPS追跡システムです。org.traccar:traccarのバージョン6.11.1から6.13.0未満の間において、KMLおよびGPXのエクスポート機能は、デバイス名を適切にエスケープせずにXML出力に書……
- 2026-05-11
Traccar LtdのTraccarにおけるCSV ファイル内の数式要素の中和に関する脆弱性
TraccarはオープンソースのGPS追跡システムです。バージョン6.11.1から6.13.0の間で、CSVエクスポート機能がユーザーが制御するデバイス属性や計算された属性を含む位置データを適切なエスケープ処理なしにCSV出力に書き込んでい……
- 2026-05-11
vm2 projectのvm2における保護メカニズムの不具合に関する脆弱性
vm2はNode.js用のオープンソースのVM/サンドボックスです。バージョン3.10.4には、任意のコード実行を伴う完全なサンドボックス脱出の脆弱性があります。VM.run()内の攻撃者のコードはホストプロセスのオブジェクトを取得し、ホス……
- 2026-05-11
マイクロソフトのMicrosoft 365 Copilot BizChatにおけるインジェクションに関する脆弱性
M365 Copilotにおいて、下流コンポーネントで使用される出力中の特殊要素が不適切に無害化される(「インジェクション」)ため、認可されていない攻撃者がネットワーク上で情報を漏洩させる可能性があります。
- 2026-05-11
マイクロソフトのMicrosoft 365 Copilot BizChatにおける特殊要素の無害化に関する脆弱性
M365 Copilotにおける特殊要素の不適切な無害化により、認可されていない攻撃者がネットワーク越しに情報を漏洩させる可能性があります。