- 2026-05-11
PHPOfficeのPhpSpreadsheetにおけるクロスサイトスクリプティングの脆弱性
PhpSpreadsheetはスプレッドシートファイルの読み書き用ライブラリです。バージョン1.30.3以前、2.0.0から2.1.15、2.2.0から2.4.4、3.3.0から3.10.4、および4.0.0から5.6.0において、HTML……
JVN iPedia20th page
- 2026-05-11
PHPOfficeのPhpSpreadsheetにおける複数の脆弱性
PhpSpreadsheetはスプレッドシートファイルの読み書き用のライブラリです。バージョン1.30.2以前、2.0.0から2.1.14、2.2.0から2.4.3、3.3.0から3.10.3、および4.0.0から5.5.0において、IOF……
- 2026-05-11
CHORNYのApache::Sessionにおける有効期限後または解放後のリソースの操作に関する脆弱性
Apache::Session のバージョン 1.94 までの Perl 用モジュールは、削除されたセッションを再作成します。セッションストアである Apache::Session::Store::File と Apache::Sessio……
- 2026-05-11
FrappeのERPNextにおけるクロスサイトスクリプティングの脆弱性
ERPNext v15.103.1およびそれ以前のバージョンには、メールテンプレートエンジンにクロスサイトスクリプティング(XSS)の脆弱性があります。メールテンプレートの作成または編集権限を持つ攻撃者は悪意のあるJavaScriptコード……
- 2026-05-11
FrappeのERPNextにおけるコードインジェクションの脆弱性
ERPNext v15.103.1以前のバージョンには、サーバーサイドテンプレートインジェクション(SSTI)の脆弱性があります。メールテンプレートの作成または編集権限を持つ攻撃者は、テンプレートのレンダリング時にサーバー上で実行されるテン……
- 2026-05-11
yeti-platformのyetiにおけるハードコードされた認証情報の使用に関する脆弱性
yeti-platformのバージョン2.1.12以前には、YETI_AUTH_SECRET_KEYをSECRET以外の値に設定しない限り、攻撃者は有効なJWTトークンを生成できる脆弱性が存在します。
- 2026-05-11
Traccar LtdのTraccarにおけるクロスサイトスクリプティングの脆弱性
TraccarはオープンソースのGPS追跡システムです。org.traccar:traccarのバージョン6.11.1から6.13.0未満において、メール通知テンプレートはユーザーが制御するデバイス名、ジオフェンス名、およびドライバー名を適……
- 2026-05-01
マイクロソフトのMicrosoft 365 Apps等の複数製品における解放済みメモリの使用に関する脆弱性
Microsoft Office WordのUse after freeの脆弱性により、認可されていない攻撃者がローカルでコードを実行する可能性があります。
- 2026-05-01
wolfSSL Inc.のwolfSSLにおける整数アンダーフローの脆弱性
wolfSSLパケットスニッファー = 5.8.4 に整数アンダーフローの脆弱性が存在します。攻撃者は、明示的なIVと認証タグの合計よりも短いTLSレコードを ssl_DecodePacket が検査するトラフィックに注入することで、AEA……
- 2026-05-01
libssh等の複数ベンダの製品におけるバッファアンダーフローの脆弱性
API関数ssh_get_hexa()は、長さ0の入力がこの関数に与えられた場合に脆弱性が発生します。この関数は内部的にssh_get_fingerprint_hash()および非推奨のssh_print_hexa()で使用されており、これ……