- 2026-01-06
OpenFGAの認可バイパスにより認証が回避されるおそれがある脆弱性
OpenFGAは開発者向けに設計され、Google Zanzibarに着想を得た高性能かつ柔軟な認可・パーミッションエンジンです。OpenFGA v1.8.10からv1.3.6(Helmチャートがopenfga-0.2.28以下、docke……
JVN iPedia272nd page
- 2026-01-06
Advantech WebAccess/SCADAにおけるSQLインジェクションの脆弱性
Advantech WebAccess/SCADAにはSQLインジェクションの脆弱性が存在し、攻撃者が任意のSQLコマンドを実行する可能性があります。
- 2026-01-06
XML-Sigの署名なしXMLが検証を通過する問題により不正に改ざんされるおそれがある脆弱性
Perl用XML-Sigのバージョン0.27から0.67には、署名が省略された場合にXMLファイルを誤って検証する問題があります。攻撃者はXMLドキュメントから署名を削除し、検証チェックを通過させることができます。署名無しのXMLファイルは……
- 2026-01-06
Gridscale X Prepay V4.2.1未満に認証トークンのリプレイ攻撃を許可する脆弱性
Gridscale X Prepay(V4.2.1未満の全バージョン)に脆弱性が確認されました。対象となるアプリケーションは認証トークンのキャプチャ・リプレイ攻撃に対して脆弱です。この脆弱性により、認証済みで既にロックアウトされたユーザーが……
- 2026-01-06
Dify v1.9.1におけるクロスオリジンリクエスト認証回避の脆弱性
Dify v1.9.1の/console/api/system-featuresエンドポイントには、クロスオリジンリソースシェアリング(CORS)の設定ミスによる脆弱性が存在します。このエンドポイントでは、過度に許容的なCORSポリシーが実……
- 2026-01-06
Dify v1.9.1の/system-featuresエンドポイントに認証なしでアクセス可能な認可不備により機密情報が漏洩する脆弱性
Dify v1.9.1には不適切な権限管理の脆弱性があります。認証されていない攻撃者は、認証情報やセッショントークンなしで /console/api/system-features エンドポイントへ直接HTTP GETリクエストを送信できま……
- 2026-01-06
DifyのCORSミス設定による認証回避の脆弱性
Dify v1.9.1の/console/api/setupエンドポイントには、クロスオリジンリソースシェアリング(CORS)の設定ミスによる脆弱性が存在します。このエンドポイントは任意のOriginヘッダーを反映し、さらにAccess-C……
- 2026-01-06
FiberHome GPON ONU HG6145F1 RP4423のSSIDから初期Wi-Fiパスワードを推測できる脆弱性
FiberHome GPON ONU HG6145F1 RP4423には、デバイスの工場出荷時のWi-Fiパスワード(WPA/WPA2事前共有キー)がSSIDから予測できる脆弱性があります。デバイスはSSIDからルータのパスフレーズを導出す……
- 2026-01-06
Dasan Switch DS2924のウェブインターフェースにおける認証回避に関する脆弱性
Dasan Switch DS2924のウェブベースインターフェイス(ファームウェアバージョン1.01.18および1.02.00)に、認証バイパスの問題が発見されました。攻撃者はウェブブラウザに細工されたCookieを保存することで、権限を……
- 2026-01-06
XiangShan Nanhu V2およびKunmighu V3における投機的実行と間接分岐予測を悪用したキャッシュサイドチャネル情報漏洩の脆弱性
XiangShan Nanhu V2およびXiangShan Kunmighu V3は、投機的実行と間接分岐予測を使用しています。そのため、攻撃者がデータキャッシュのサイドチャネル解析を通じて機密情報にアクセスできる可能性があります。