- 2026-01-06
Meatmeetにおける、モバイルアプリ開発時にWi-Fi認証情報を保存し、攻撃者によるベンダーWi-Fiネットワークへの不正アクセスを可能にする脆弱性
モバイルアプリケーションには、その開発に使用されたネットワークの認証情報が保存されていることが判明しています。攻撃者がこれらの情報を取得し、Wi-Fiネットワークの物理的な場所を特定した場合、ベンダーのWi-Fiネットワークに不正アクセスで……
JVN iPedia257th page
- 2026-01-06
Algernonにおけるクロスサイトスクリプティングが発生する脆弱性
Algernon v1.17.4 にはクロスサイトスクリプティング(XSS)の脆弱性が存在し、攻撃者は細工したペイロードをファイル名に注入することで任意のコードを実行できます。
- 2026-01-06
Sublime Text 3のdylibインジェクションにより任意コードが実行される脆弱性
MacOS 用の Sublime Text 3 Build 3208 以前のバージョンには Dylib インジェクションの脆弱性が存在します。攻撃者は .dylib ファイルをコンパイルし、このライブラリを Sublime Text アプリ……
- 2026-01-06
novelにおけるbook_commentテーブルのコメントがサニタイズされずにXSSが可能となる脆弱性
201206030 novel V3.5.0 には、DOM ベースのクロスサイトスクリプティング(XSS)脆弱性が存在します。これにより、リモートの攻撃者が巧妙に作成した「wvstest」パラメータを URL に挿入したり、window.l……
- 2026-01-06
Blue Mailにおける添付ファイル保存のマーク付与漏れによる脆弱性
添付ファイルのインタラクション機能を使用する際、Blue Mail 1.140.103およびそれ以前のバージョンは、ファイルをMark-of-the-Webタグなしでファイルシステムに保存します。その結果、攻撃者はWindows OSやサー……
- 2026-01-06
Canary Mail 5.1.40以前の添付ファイル操作機能におけるMark-of-the-Webタグ欠如によるWindowsのファイル保護回避の脆弱性
添付ファイルの操作機能を使用する際、Canary Mail 5.1.40およびそれ以前のバージョンでは、ドキュメントがMark-of-the-Webタグなしでファイルシステムに保存されるため、攻撃者がWindows OSやサードパーティ製ソ……
- 2026-01-06
Weblateにおける任意ファイル読み取りの脆弱性
Weblateはウェブベースのローカライズツールです。バージョン5.15.1より前のバージョンでは、リポジトリ内で細工されたシンボリックリンクを使用することで、サーバーのファイルシステムから任意のファイルを読み取ることができました。この問題……
- 2026-01-06
Parse ServerのInstagram認証アダプターにおけるSSRFを利用した認証回避の脆弱性
Parse Serverは、Node.jsを実行できるあらゆるインフラストラクチャにデプロイ可能なオープンソースのバックエンドです。バージョン8.6.2および9.1.1-alpha.1より前では、Instagram認証アダプターが`auth……
- 2026-01-06
FreshRSSにおける429 Retry-Afterレスポンス処理に起因するサービス拒否を引き起こす脆弱性
FreshRSSは無料でセルフホスト可能なRSSアグリゲーターです。バージョン1.27.0から1.28.0未満では、攻撃者がプロキシを通じて多数のフィードに対して429 Retry-Afterを返すように改変すると、インスタンス上のフィード……
- 2026-01-06
cbor2のCBORDecoderにおける情報漏洩の脆弱性
cbor2は、Concise Binary Object Representation(CBOR)シリアル化フォーマットのエンコードとデコードを提供します。バージョン3.0.0から5.8.0未満のバージョンでは、CBORDecoderインス……