- 2026-01-06
Overhang.IO Tutor Open edX v20.0.2のキャッシュ制御ヘッダーとクライアント側セッションチェックの欠如による認証されていないローカル攻撃者による機密情報漏洩の脆弱性
Overhang.IO(tutor-open-edx)(overhangio/tutor)バージョン20.0.2には、適切なキャッシュ制御HTTPヘッダーおよびクライアント側セッションチェックが欠如しているため、ローカルの認証されていない攻……
JVN iPedia275th page
- 2026-01-06
Dbit N300 T1 Pro イージーセットアップワイヤレスWi-FiルーターV1.0.0におけるパスワード認証のレートリミット未実装によるブルートフォース攻撃が可能な脆弱性
Dbit N300 T1 Pro Easy Setup Wireless Wi-FiルーターのファームウェアバージョンV1.0.0において、/api/loginにレートリミットが実装されていない問題が発見されました。この問題により、攻撃者が……
- 2026-01-06
GroceryMartのusers.jsonに認証不要で平文ユーザー情報が漏洩する脆弱性
GroceryMart のコミット 21934e6(2020-10-23)にある users.json ファイルに問題が発見され、認証されていない攻撃者が平文のユーザー名やパスワードなどの機密情報を取得することが可能です。
- 2026-01-06
HashTechの未認証管理者アクセスを許す脆弱性
オープンソースのHashTechプロジェクト(https://github.com/henzljw/hashtech)バージョン1.0からコミット5919decaff2681dc250e934814fc3a35f6093ee5(2021-0……
- 2026-01-06
OpenFGAにおける認可バイパスの脆弱性
OpenFGAはGoogle Zanzibarに着想を得て開発された、開発者向けの高性能で柔軟な認可・権限制御エンジンです。OpenFGA v1.4.0からv1.11.0(Helm chart openfga-0.1.34からopenfga……
- 2026-01-06
pdfminer.sixのCMapDB._load_data()にpickleファイルをデシリアライズすることで任意のコード実行が可能となる脆弱性
pdfminer.sixは、元のPDFMinerコミュニティによって保守されているフォークであり、PDFドキュメントから情報を抽出するためのツールです。バージョン20251107より前のpdfminer.sixでは、悪意のあるPDFファイル……
- 2026-01-06
特権のないユーザーがroot権限を取得できる問題により発生するIncusの脆弱性
Incusはシステムコンテナおよび仮想マシンマネージャーです。バージョン6.0.6未満および6.19.0未満のIncusには、特権のないユーザーが `security.shifted` プロパティが `true` に設定されたカスタムストレ……
- 2026-01-06
Eximbills Enterpriseにおける認証済みユーザーによって保存されたスクリプトが実行されるおそれがある脆弱性
Eximbills Enterprise 4.1.5(2020-10-30 ビルド)には、/EximBillWeb/servlets/WSTrxManager エンドポイントを介して認証済みのストアド型クロスサイトスクリプティング(CWE-……
- 2026-01-06
RichFilemanagerにおける任意ファイルアップロードにより遠隔コード実行が可能となる脆弱性
RichFilemanager v2.7.6 の /php/UploadHandler.php コンポーネントには任意のファイルをアップロードできる脆弱性が存在しており、攻撃者は細工されたファイルをアップロードすることで任意のコードを実行で……
- 2026-01-06
Magewell Pro ConvertにおけるCSRFによるアカウント作成の脆弱性
Magewell Pro Convert v1.2.213 の /usapi?method=add-user コンポーネントにはクロスサイトリクエストフォージェリ(CSRF)の脆弱性が存在し、攻撃者が細工されたGETリクエストを送信すること……