- 2026-01-06
WPLMSプラグインにおけるDOMベースのXSSの脆弱性
VibeThemesのWPLMS wplms_pluginには、ウェブページ生成時の入力を適切に無害化しない(クロスサイトスクリプティング)脆弱性が存在するため、DOMベースのXSSが発生する可能性があります。この問題は、バージョンn/aか……
JVN iPedia251st page
- 2026-01-06
changedetection.ioにおけるウォッチ更新APIにより保存されたクロスサイトスクリプティングの脆弱性
changedetection.ioは無料のオープンソースWebページ変更検出ツールです。バージョン0.50.34未満のchangedetection.ioのウォッチ更新APIにはセキュリティチェックが不十分であったため、ストアド型クロスサ……
- 2026-01-06
n8nのGitノードにおけるリモートリポジトリのpre-commitフックによる任意コード実行の脆弱性
n8nはオープンソースのワークフロー自動化プラットフォームです。バージョン1.113.0未満では、Cloud版とSelf-Hosted版の両方で利用可能なGit Nodeコンポーネントにリモートコード実行の脆弱性が存在します。悪意のある攻撃……
- 2026-01-06
MattermostのリダイレクトURL検証不備によりオープンリダイレクトが可能となる脆弱性
Mattermost バージョン 10.11.x <= 10.11.4 では、/error ページにおけるリダイレクト URL の検証が不十分であるため、攻撃者は細工したリンクを新しいタブで開かせ、被害者を悪意のあるサイトへリダイレク……
- 2026-01-06
Teledyne FLIR AX8における認証なしで任意ファイルをアップロードできる脆弱性
Teledyne FLIR AX8 バージョン 1.46 までには、/upload.php ファイルの File 引数を悪用することで、制限なくファイルをアップロードできる脆弱性が存在します。リモートから攻撃することが可能で、既にエクスプロ……
- 2026-01-06
Mattermostにおける認証済みユーザーが通話を開始できるクロスサイトリクエストフォージェリ(CSRF)の脆弱性
Mattermost バージョン 11.0.x <= 11.0.4、10.12.x <= 10.12.2、10.11.x <= 10.11.6、および Mattermost Calls バージョン <=1.10.0 ……
- 2026-01-06
n8nのウェブフック処理における悪意のあるスクリプト保存・実行の脆弱性
n8nはオープンソースのワークフロー自動化プラットフォームです。バージョン1.114.0より前のバージョンでは、「Respond to Webhook」ノードを使用する際にストアド型クロスサイトスクリプティング(XSS)の脆弱性が発生する可……
- 2026-01-06
Piranha CMSにおけるページ管理画面で発生する保存型XSSの脆弱性
Piranha CMS v12.0 の /manager/pages コンポーネントには、保存型クロスサイトスクリプティング(XSS)の脆弱性が存在します。この脆弱性により、攻撃者がページを作成し、細工されたペイロードをMarkdownブロ……
- 2026-01-06
BusyBox wgetにおいて制御文字が許可されることによる挿入の脆弱性
BusyBox wget バージョン 1.3.7 までには、HTTP リクエストターゲット(パスやクエリ)内で生の CR(0x0D)や LF(0x0A)、その他の C0 制御バイトを受け入れてしまう問題が存在していました。この問題により、リ……
- 2026-01-06
Ilevia EVE X1 Server の /bh_web_backend に認証回避の脆弱性
Ilevia EVE X1 Server Firmware バージョン v4.7.18.0.eden およびそれ以前、Logic バージョン v6.00 – 2025_07_21 にはクロスサイトリクエストフォージェリ(CSRF……