- 2026-01-06
PDストアの安全でないデシリアライズ処理によりリモートコード実行が可能となる脆弱性
悪意のあるRaftノードがPDストア内の安全でないHessianデシリアライズを悪用し、リモートコードを実行される脆弱性が存在します。この問題に対する修正として、クラスターメンバーシップに対するIPベースの認証が強化され、Hessianのシ……
JVN iPedia250th page
- 2026-01-06
libxmljsにおけるサービス拒否(DoS)の脆弱性
libxmljs 1.0.11 には、特別に細工された XML ドキュメントを解析する際に脆弱性が存在します。entity_ref および entity_decl ノードの内部 _ref プロパティにアクセスすると、セグメンテーションフォー……
- 2026-01-06
Strapiのパスワード最大長未制限により認証が不十分となる問題に関する脆弱性
StrapiはオープンソースのヘッドレスCMSです。@strapi/coreパッケージのバージョン5.10.3以前では、bcryptjsを使用したパスワードハッシュ化時にパスワードの最大長が強制されていません。bcryptjsは72バイトを……
- 2026-01-06
IBM Concertにおけるヒープメモリ消去不備による情報漏えいの脆弱性
IBM Concert 1.0.0から2.1.0には、ヒープメモリの不適切なクリアにより、リモートの攻撃者が割り当てられたメモリから機密情報を取得できる可能性があります。
- 2026-01-06
EyouCMSのarcpagelistにおけるデシリアライズ処理の脆弱性
EyouCMS バージョン 1.7.7 までに脆弱性が発見されました。影響を受ける要素は、コンポーネント arcpagelist ハンドラーの application/api/controller/Ajax.php ファイル内で使用されてい……
- 2026-01-06
OneFlow v0.9.0 の入力検証不備により任意コード実行が可能となる脆弱性
OneFlow v0.9.0 には不適切な入力検証の脆弱性が存在し、攻撃者はブロードキャストや型変換中に Python シーケンスをネイティブコードに追加することで、セグメンテーションフォールトを引き起こす可能性があります。
- 2026-01-06
PyTorchにおけるプロファイラーが正しく停止しないことによるサービス拒否が発生する脆弱性
PyTorch v2.5およびv2.7.1で問題が発見されました。profiler.stop()を省略すると、torch.profiler.profile(PythonTracer)が終了処理中にクラッシュしたりハングアップしたりして、サー……
- 2026-01-06
Open-WebUIにおける認証回避により情報漏洩が発生する脆弱性
Open-WebUI <=0.6.32 の /api/config エンドポイントには認証バイパスの脆弱性が存在します。このエンドポイントでは適切な認証および認可制御が実施されていません。そのため、認証されていないリモート攻撃者が機密……
- 2026-01-06
AnythingLLMにおける認証なしで情報が取得される脆弱性
AnythingLLM v1.8.5には、/api/workspacesエンドポイントに認証バイパスの脆弱性があります。このエンドポイントは適切な認証チェックが実装されていないため、認証されていないリモートの攻撃者が、設定されているすべての……
- 2026-01-06
Ollama APIの認証回避により不正操作が可能な脆弱性
OllamaプラットフォームのAPIエンドポイント(バージョンv0.12.3以前を含む)には、重大な認証バイパスの脆弱性が存在します。この脆弱性により、プラットフォームは複数のAPIエンドポイントを認証なしで公開し、リモートの攻撃者が認可さ……