- 2026-01-06
Ficklingのモジュールインポート検証不備により任意コードが実行されるおそれがある脆弱性
Ficklingは、Pythonのピックル解除用デコンパイラおよび静的解析ツールです。バージョン0.1.6より前では、安全でないモジュールインポートのブロックリストに「marshal」と「types」が含まれていませんでした。この問題に対応……
JVN iPedia181st page
- 2026-01-06
FACTION拡張フレームワークにおける認証なしリモートコード実行が可能となる脆弱性
FACTIONは、ペンテストレポートの生成およびコラボレーションのためのフレームワークです。バージョン1.7.1より前のFactionでは、拡張フレームワークの実行パスに起因して、信頼されていない拡張コードがライフサイクルフックの呼び出し時……
- 2026-01-06
Local Deep Researchにおけるダウンロードサービスに対して攻撃リクエストを許す脆弱性
Local Deep Researchは、ディープで反復的なリサーチのためにAIを搭載したリサーチアシスタントです。バージョン1.3.0から1.3.9未満のバージョンでは、ダウンロードサービス(download_service.py)がアプ……
- 2026-01-06
OWASP Java HTML Sanitizerのstyleタグ処理におけるXSSの脆弱性
OWASP Java HTML Sanitizerは、Javaで実装された設定可能なHTMLサニタイザであり、サードパーティが生成したHTMLをWebアプリケーションに組み込む際にXSSから保護します。バージョン20240325.1では、H……
- 2026-01-06
Nettyにおける改行注入による HttpRequestEncoderのリクエスト改ざんをする脆弱性
Nettyは、非同期のイベント駆動型ネットワークアプリケーションフレームワークです。バージョン4.1.129.Finalおよび4.2.8.Finalより前のバージョンでは、リクエストの構築時に`io.netty.handler.codec.……
- 2026-01-06
Advantech WebAccess/SCADA におけるディレクトリトラバーサルの脆弱性
Advantech WebAccess/SCADA にはディレクトリトラバーサルの脆弱性が存在し、攻撃者が任意のファイルの存在を特定できる可能性があります。
- 2026-01-06
CISA Software Acquisition Guide Supplier Response Web Toolのインポート機能におけるクロスサイトスクリプティングの脆弱性
2025年12月11日以前のCISA Software Acquisition Guide Supplier Response Web Toolには、テキストフィールドを介したクロスサイトスクリプティングの脆弱性が存在していました。攻撃者が……
- 2026-01-06
FluentCMSのページ追加機能におけるクロスサイトスクリプティングの脆弱性
FluentCMS 1.2.3 にクロスサイトスクリプティング(XSS)の脆弱性が確認されています。管理者としてログインし「ページ追加」機能に移動した際、アプリケーションが <head> セクション内の入力を適切にサニタイズしな……
- 2026-01-06
Grassroot DICOM の Overlay::GrabOverlayFromPixelData におけるバッファ読み取り越えにより情報漏洩が発生するおそれがある脆弱性
Grassroot DICOM 3.024 の Overlay::GrabOverlayFromPixelData 機能には、境界外読み取りの脆弱性が存在します。巧妙に作成された DICOM ファイルによって情報漏洩が発生する可能性がありま……
- 2026-01-06
Bluditにおけるセッション固定に関する認証回避の脆弱性
Bludit におけるセッション固定の脆弱性により、攻撃者が管理者や他のユーザーに自分が選んだセッションIDを承認させることができた場合、サーバーの認証を回避される可能性があります。