- 2026-01-06
UTT 先進 512W バージョン 1.7.7-171114 の /goform/ConfigExceptMSN におけるリモートバッファオーバーフローが発生する脆弱性
UTT 先進 512W のバージョン 1.7.7-171114 までに脆弱性が確認されています。影響を受けるのは /goform/ConfigExceptMSN ファイル内の strcpy 関数です。remark 引数を操作することでバッフ……
JVN iPedia270th page
- 2026-01-06
Machsol MachPanel 8.0.32 におけるファイルアップロードに関する脆弱性
machsol machpanel 8.0.32 にはファイルアップロードの脆弱性が存在し、攻撃者がウェブシェルを取得することが可能です。
- 2026-01-06
Salmen2/Simple-Faucet-Scriptにおける管理画面で認証なしに操作されるおそれがある脆弱性
Salmen2/Simple-Faucet-Script v1.07 の admin.php?p=ads&c=1 に対して細工されたPOSTリクエストを送信すると、クロスサイトリクエストフォージェリ(CSRF)の脆弱性が存在し、攻撃……
- 2026-01-06
mihomo v1.19.11の不適切なアクセス制御により、認証済みの低権限攻撃者が構成ファイルから外部制御キーを取得し、特権昇格された権限で任意のファイルを読み取ることが可能となる脆弱性
mihomo v1.19.11 の不適切なアクセス制御により、低い権限を持つ認証済みの攻撃者が、構成ファイルから外部制御キーを取得することで、特権昇格された権限で任意のファイルを読み取ることが可能になります。
- 2026-01-06
ZIRA Group WBRM 7.0 の referenceLookupsByTableNameAndColumnName におけるSQLインジェクションの脆弱性
ZIRA Group WBRM 7.0 は、referenceLookupsByTableNameAndColumnName において SQL インジェクションの脆弱性が存在します。
- 2026-01-06
Difyにおけるdocker-compose.yamlにデフォルト認証情報がハードコードされている脆弱性
Dify 1.5.1までのバージョンでは、デフォルトの認証情報が使用されています。ソースコードに含まれるdocker-compose.yamlファイルには、PostgreSQLのユーザー名とパスワードが指定されています。このため、不正アクセ……
- 2026-01-06
Ruijie RG-EW1200のPOSTリクエスト処理に任意コマンド実行の脆弱性
Ruijie RG-EW1200 EW_3.0(1)B11P227_EW1200_11130208RG-EW1200 V1.00 には、/usr/local/lua/dev_sta/networkConnect.lua 内の module_……
- 2026-01-06
Ruijie RG-EW1300G EW1300Gにおける細工されたPOSTリクエストによる不正コマンド実行が可能となる脆弱性
Ruijie RG-EW1300G EW1300G V1.00/V2.00/V4.00には、/usr/local/lua/dev_sta/networkConnect.lua 内の module_get に細工されたPOSTリクエストを送信……
- 2026-01-06
Ruijie RG-RAP2200(E) 247 2200における細工されたPOSTリクエストによりOSコマンドが実行されるおそれがある脆弱性
Ruijie RG-RAP2200(E) 247 2200 には OS コマンドインジェクションの脆弱性が存在し、攻撃者が /usr/local/lua/dev_sta/nbr_cwmp.lua 内の module_set への細工された ……
- 2026-01-06
Revive Adserver におけるユーザー名なりすまし問題により類似文字が許可される脆弱性
Revive Adserverのユーザー名の取り扱いには、修正後も依然としてなりすまし攻撃に対する脆弱性が存在しており、類似文字を用いたなりすましも報告されています。