- 2026-01-06
WhoDBのデータベース接続URIパラメータインジェクションによるファイル読み取りの脆弱性
WhoDBはオープンソースのデータベース管理ツールです。影響を受けるバージョンでは、アプリケーションがデータベース接続文字列へのパラメータインジェクションに対して脆弱であるため、攻撃者はアプリケーションが実行されているマシン上のローカルファ……
JVN iPedia269th page
- 2026-01-06
WhoDBにおけるファイルに不正アクセスされる可能性がある脆弱性
WhoDBはオープンソースのデータベース管理ツールです。アプリケーションは、ディレクトリ「/db」に存在するSqlite3データベースのみを表示しますが、パストラバーサル防止策が実装されていません。そのため、認証されていない攻撃者は、アプリ……
- 2026-01-06
D-Link DCS-850LのFirmware Update Serviceに存在するパストラバーサルの脆弱性
D-Link DCS-850L バージョン1.02.09に脆弱性が発見されました。影響を受けるのは Firmware Update Service の uploadfirmware 関数です。DownloadFile 引数を操作することで、……
- 2026-01-06
BPMFlowWebkitにおける認証なしで任意ファイルをアップロードしリモートコード実行が可能となる脆弱性
WELLTEND TECHNOLOGYが開発したBPMFlowWebkitには、任意のファイルをアップロードできる脆弱性が存在しています。この脆弱性により、認証されていないリモートの攻撃者がウェブシェル型のバックドアをアップロードして実行し……
- 2026-01-06
BPMFlowWebkitにおける認証なしで任意のファイルをダウンロードできる脆弱性
WELLTEND TECHNOLOGYが開発したBPMFlowWebkitには、任意のファイルを読み取る脆弱性が存在しており、認証されていないリモートの攻撃者が絶対パストラバーサルを悪用することで、システム内の任意のファイルをダウンロードで……
- 2026-01-06
BiggiDroid Simple PHP CMSのIDパラメータの操作により発生するSQLインジェクションの脆弱性
BiggiDroid Simple PHP CMS 1.0 に脆弱性が確認されました。この問題は /admin/editsite.php ファイル内の不明な機能に存在します。引数 ID を操作すると、SQLインジェクションが発生する可能性が……
- 2026-01-06
prasathmani TinyFileManagerのfullpathパラメータを悪用したパストラバーサルの脆弱性
prasathmani TinyFileManager 2.6までに脆弱性が見つかりました。影響を受けるのは tinyfilemanager.php ファイルの一部の不明な機能です。fullpath 引数を操作することでパストラバーサルが発……
- 2026-01-06
actiontech SQLEのJWTシークレットハンドラーにハードコードされたキー使用による認証回避の脆弱性
actiontech SQLE 4.2511.0以前のバージョンにはセキュリティ脆弱性が存在します。影響を受ける要素はJWT Secret Handlerコンポーネントのsqle/utils/jwt.goファイル内の不明な関数です。JWTS……
- 2026-01-06
getmaxunの認証エンドポイントにおける不適切な認可の脆弱性
getmaxun maxun 0.0.28までに脆弱性が確認されました。影響を受ける要素は、Authentication Endpointコンポーネントのserver/src/routes/auth.tsファイル内のrouter.get関数……
- 2026-01-06
getmaxunのauth.tsにおけるハードコーディングされた暗号鍵によるリモートAPIキー操作の脆弱性
getmaxun maxun 0.0.28以前にセキュリティ上の脆弱性が発見されました。/getmaxun/maxun/blob/develop/server/src/routes/auth.ts ファイルの不明な関数が影響を受けています。……