- 2025-12-26
Kentico Xperience のメールマーケティングテンプレート編集機能における保存型XSSの脆弱性
Kentico Xperience における保存型クロスサイトスクリプティングの脆弱性により、管理ユーザーがメールマーケティングテンプレートを介して悪意のあるスクリプトを挿入することが可能です。攻撃者がこの脆弱性を悪用すると、ユーザーブラウ……
JVN iPedia3rd page
- 2025-12-26
NI LabVIEWのLVResFile::RGetMemFileHandle()に境界外読み取りが発生することで情報漏えいが可能となる脆弱性
NI LabVIEWには、破損したVIファイルを解析する際のLVResFile::RGetMemFileHandle()において、境界外読み取りの脆弱性が存在します。攻撃者が特別に細工したVIファイルをユーザーに開かせることで、この脆弱性を……
- 2025-12-26
Kentico Xperienceの暗号処理におけるURLハッシュ改ざんの脆弱性
Kentico Xperience における暗号技術の脆弱性により、攻撃者が既存のハッシュ機構を通じて URL ハッシュ値を操作できる可能性があります。ホットフィックスでは、ハッシュ値の再利用や悪用のリスクを防ぐため、追加のセキュリティ層が……
- 2025-12-26
LabVIEWのVIファイル解析時に発生する範囲外書き込みの脆弱性
NI LabVIEWのmgocre_SH_25_3!RevBL()には、破損したVIファイルを解析する際に範囲外書き込みの脆弱性が存在します。この脆弱性により、情報漏洩や任意のコード実行が発生する可能性があります。攻撃者がこの脆弱性を悪用す……
- 2025-12-26
Kentico XperienceにおけるSQLインジェクションの脆弱性
Kentico Xperience における SQL インジェクションの脆弱性により、認証された編集者がオンラインマーケティングマクロメソッドのパラメータを通じて悪意のある SQL クエリを注入できます。この脆弱性を利用すると、マクロメソッ……
- 2025-12-26
CTCMS 2.1.2 までのフロントエンドテンプレート管理モジュールにおけるCT_Parser.phpの適切な無害化不備によるリモートからの悪用可能な脆弱性
CTCMS Content Management System バージョン 2.1.2 までに脆弱性が確認されました。この脆弱性は、コンポーネントのフロントエンド/テンプレート管理モジュール内の /ctcms/apps/libraries/……
- 2025-12-26
Kentico Xperienceのファイルアップロード機能に存在するクロスサイトスクリプティング(XSS)の脆弱性
Kentico Xperience における保存型クロスサイトスクリプティングの脆弱性により、攻撃者はファイル拡張子と一致しない偽装された Content-Type を持つファイルをアップロードできます。攻撃者は、不正な MIME タイプを……
- 2025-12-26
PhotoShowの管理者設定によりリモートコードが実行される恐れがある脆弱性
PhotoShow 3.0にはリモートコード実行の脆弱性が存在し、認証された管理者はexiftranのパス設定を通じて悪意のあるコマンドを注入できます。攻撃者はffmpegの設定を悪用して、リバースシェルコマンドをbase64エンコードし、……
- 2025-12-26
Kentico Xperienceの認可回避による権限昇格の脆弱性
Kentico Xperience におけるアクセス制御バイパスの脆弱性により、管理者が認可されていないリクエストを介してグローバル管理者のユーザ権限を変更できてしまいます。攻撃者は、ユーザ権限レベルを操作することで、グローバル管理者アカウ……
- 2025-12-26
管理画面のエラーメッセージ処理によるクロスサイトスクリプティングの脆弱性
Kentico Xperience に格納型クロスサイトスクリプティング(XSS)の脆弱性が存在し、攻撃者は特別に細工されたオブジェクト名を含むエラーメッセージを利用して悪意のあるスクリプトを挿入できます。その結果、管理者が管理インターフェ……