- 2025-12-26
Rukovoditel 3.3.1のfirstnameフィールドで発生するCSVインジェクションによる脆弱性
Rukovoditel 3.3.1にはCSVインジェクションの脆弱性があり、認証済みユーザーがfirstnameフィールドに悪意のある数式を注入できます。攻撃者は「=calc|a!z|」のようなペイロードを作成し、管理者が顧客データをCSV……
JVN iPedia289th page
- 2025-12-26
抜粋フィールドに保存型クロスサイトスクリプティングが発生する脆弱性
Textpattern CMS 4.8.8には、記事の抜粋フィールドに保存型クロスサイトスクリプティング(XSS)の脆弱性が存在します。この脆弱性によって、認証済みユーザーは悪意のあるスクリプトを埋め込むことができます。攻撃者は抜粋欄にJa……
- 2025-12-26
認証済みユーザーによる保存型XSS攻撃を許す脆弱性
WBCE CMS 1.6.1には、保存型のクロスサイトスクリプティング(XSS)脆弱性が存在します。認証済みの攻撃者は、WYSIWYGエディターを使用してページ内容にスクリプトタグを挿入することで、悪意のあるJavaScriptを注入できま……
- 2025-12-26
SVGファイルアップロード機能による保存型クロスサイトスクリプティング(XSS)の脆弱性
WBCE CMS 1.6.1 には、認証済みの攻撃者がメディアマネージャーを通じて細工された SVG ファイルをアップロードすることで悪意のある JavaScript を注入できる、保存型クロスサイトスクリプティング脆弱性が存在します。攻撃……
- 2025-12-26
WebsiteBaker 2.13.3のSVGアップロード機能における保存型XSSの脆弱性
WebsiteBaker 2.13.3 には、認証済みユーザーが悪意のある JavaScript を埋め込んだ SVG ファイルをアップロードできる保存型クロスサイトスクリプティングの脆弱性が存在します。攻撃者はスクリプトタグを含む細工され……
- 2025-12-26
WebsiteBakerにおける認証済み任意ファイル削除の脆弱性
WebsiteBaker 2.13.3 には、認証済みの攻撃者がディレクトリパスのパラメータを操作することで任意のファイルを削除できるディレクトリトラバーサルの脆弱性が存在します。攻撃者は、細工した GET リクエストを /admin/me……
- 2025-12-26
日本語に翻訳されたタイトル:著作権テキスト編集機能のクロスサイトスクリプティング(XSS)の脆弱性
Rukovoditel 3.4.1には、認証済みの攻撃者がストアド型クロスサイトスクリプティング(XSS)攻撃により悪意のあるスクリプトを挿入できる脆弱性が存在します。攻撃者はアプリケーションの著作権テキストにiframeやスクリプトによる……
- 2025-12-26
認証済み攻撃者がコメント欄にXSSを仕込める脆弱性
Rukovoditel 3.4.1 には複数の蓄積型クロスサイトスクリプティング(XSS)脆弱性が存在し、認証された攻撃者が悪意のあるスクリプトを注入することが可能です。攻撃者はプロジェクトタスクのコメントにXSSペイロードを挿入することで……
- 2025-12-26
D-Link DAP-1325のアクセス制御不備による情報漏えい脆弱性
D-Link DAP-1325のファームウェアバージョン1.01には、認証されていない攻撃者が認証なしでデバイスの設定情報をダウンロードできるアクセス制御の不備による脆弱性が存在します。攻撃者は /cgi-bin/ExportSetting……
- 2025-12-26
Zomplogの認証済みリモートコード実行の脆弱性
Zomplog 3.9 にはリモートコード実行の脆弱性が存在し、認証された攻撃者がファイル操作エンドポイントを利用して任意のPHPコードを挿入および実行できます。攻撃者は悪意のあるJavaScriptファイルをアップロードし、それをPHPフ……