- 2026-01-06
ShopWPプラグインのREST APIにおける認証回避が可能な権限チェック不備の脆弱性
ShopWPプラグイン(WordPress用)には、バージョン2.0.4までに複数のREST APIルートで権限チェックが欠落していたため、認証回避の脆弱性が存在します。この脆弱性により、認証されていない攻撃者がエンドポイントを呼び出してプ……
JVN iPedia264th page
- 2026-01-06
MyBBのアバターアップロード制限をバイパスできる脆弱性
MyBB 1.8.32 には、認証済みの管理者がアバターのアップロード制限をバイパスして任意のコードを実行できる複合的な脆弱性があります。攻撃者はアップロードパスの設定を変更し、悪意のある PHP コードが埋め込まれた画像ファイルをアップロ……
- 2026-01-06
myBB フォーラム 1.8.26のテンプレート編集機能における保存型XSSの脆弱性
myBB Forums 1.8.26には、テンプレート管理システムに保存型クロスサイトスクリプティング(XSS)の脆弱性が存在します。この脆弱性により、認証された管理者が新しいテンプレートを作成する際、悪意のあるスクリプトを挿入できます。攻……
- 2026-01-06
Tenda F1202における管理画面の認証情報漏えい脆弱性
Tenda F1202 1.2.0.9、1.2.0.14、1.2.0.20には脆弱性が存在しています。不明な機能(管理インターフェースのコンポーネント)を通じて/etc_ro/shadowファイルに影響が及びます。Fireitupという入力……
- 2026-01-06
Google OAuthの’aud’フィールド未検証によりアカウント乗っ取りが可能となる認証不備の脆弱性
lunary-ai/lunary バージョン1.9.34には、Google OAuth統合における認証不備があり、アカウントが乗っ取られる脆弱性が存在します。アプリケーションでは、Googleによって発行されたアクセストークンの ̵……
- 2026-01-06
GreenCMSにおけるアップロード機能の悪用による任意ファイル送信の脆弱性
GreenCMS バージョン 2.3.0603 までに脆弱性が確認されています。この脆弱性は、/index.php?m=admin&c=media&a=fileconnect ファイルの不明な部分に影響を与えます。引数 up……
- 2026-01-06
MyNETにおけるユーザー情報が漏えいする可能性があるリフレクティッドXSSの脆弱性
MyNET v26.08までのバージョンには、リフレクティッドクロスサイトスクリプティング(XSS)の脆弱性が存在しており、攻撃者は細工されたペイロードをHTTPパラメータに注入することで、ユーザーのブラウザ上で任意のコードを実行できる可能……
- 2026-01-06
MyNETにおけるクロスサイトスクリプティング(XSS)による脆弱性
MyNET v26.08以前のバージョンには、ficheiroパラメータを介して反射型クロスサイトスクリプティング(XSS)脆弱性が存在することが判明しました。
- 2026-01-06
SecurePropsのTagAwareCipherにおけるNullEncoder処理不備による脆弱性
SecurePropsは、オブジェクト内のプロパティデータの暗号化および復号化を簡素化するために設計されたPHPライブラリです。SecurePropsバージョン1.2.0および1.2.1には、復号処理時に正規表現がタグを検出できない脆弱性が……
- 2026-01-06
@tomphttp/bare-server-nodeにおけるHTTPリクエスト処理の問題により情報漏洩が発生する脆弱性
TOMP Bare Serverは、TompHTTP bare serverを実装しています。バージョン2.0.2未満には、@tomphttp/bare-server-nodeパッケージによるHTTPリクエストの安全でない処理に関連する脆弱……