- 2026-01-06
SiYuanにおけるセッションストアのハードコード暗号化キーによるセッションクッキー情報漏洩の脆弱性
SiYuanはセルフホスト型のオープンソース個人ナレッジマネジメントソフトウェアです。バージョン3.5.1以前では、SiYuan Noteアプリケーションがセッションストアにハードコードされた暗号化キーを使用しています。この安全でない運用に……
JVN iPedia260th page
- 2026-01-06
Giteaのリンク処理において発生するクロスサイトスクリプティングの脆弱性
Gitea バージョン 1.20.1 より前では、javascript: などの禁止された URL スキームがリンクに使用できるため、XSS(クロスサイトスクリプティング)脆弱性が発生します。
- 2026-01-06
Gitea 1.21.2未満における匿名ユーザーによるプライベートプロジェクト不正アクセスの脆弱性
Gitea 1.21.2 未満のバージョンでは、匿名ユーザーがプライベートユーザーのプロジェクトにアクセスできてしまう問題が報告されています。
- 2026-01-06
Gitea 1.22.2以前のパッケージレジストリにおけるアクセストークンスコープ伝播処理の脆弱性
Gitea 1.22.2以前のバージョンでは、独自のパッケージレジストリの1つにおいて、アクセストークンのスコープ伝播処理が不適切に実施される可能性があります。
- 2026-01-06
Giteaのユーザー探索で最終ログイン時刻が漏洩する脆弱性
Gitea 1.21.8以前のバージョンでは、(たとえば)explore/usersのsort orderとしてlastlogintimeを許可することにより、ユーザーの最終ログイン時間が意図せず公開されてしまいます。
- 2026-01-06
Giteaのタグやブランチ作成機能におけるXSSの脆弱性
Gitea 1.22.2以前のバージョンでは、タグやブランチ作成時の検索入力ボックスがv-textではなくv-htmlを使用しているため、XSS(クロスサイトスクリプティング)が発生する可能性があります。
- 2026-01-06
GiteaのAPIトークンにおける認可制御不備による情報漏洩の脆弱性
Gitea 1.22.3以前のバージョンでは、公開リソースに限定されたスコープのAPIトークンを受け取った際に、プライベートリソースへのアクセス制御が不適切に処理されます。
- 2026-01-06
Gitea 1.22.5以前のプルリクエストマージ後にブランチ削除権限が不適切に強制されない脆弱性
Gitea 1.22.5以前では、プルリクエストをマージした後、ブランチ削除権限が十分に適切に強制されていませんでした。
- 2026-01-06
Giteaの添付ファイルAPIにおけるファイル拡張子検証不備で任意ファイルをアップロードできる脆弱性
Gitea 1.23.0より前のバージョンには、攻撃者が添付ファイルAPIを介して添付ファイル名を編集することで、禁止されたファイル拡張子の添付ファイルを追加できる脆弱性が存在します。