- 2026-04-23
Apache Software FoundationのApache Airflowにおける信頼できないデータのデシリアライゼーションに関する脆弱性
Dag Authorsは通常、ウェブサーバーのコンテキストでコードを実行すべきではありませんが、XComペイロードを巧みに作成することでウェブサーバーに任意のコードを実行させる可能性がありました。Dag Authorsは既に高く信頼されてい……
JVN iPedia32nd page
- 2026-04-23
The Go ProjectのGoにおけるリクエストの直接送信に関する脆弱性
url.Parseはホストや権限コンポーネントを十分に検証せず、一部の無効なURLを受け入れていました。
- 2026-04-22
budibaseにおける制限またはスロットリング無しのリソースの割り当てに関する脆弱性
Budibaseはオープンソースのローコードプラットフォームです。バージョン3.23.25より前のバージョンでは、「パスワードを忘れた」エンドポイントにレート制限、CAPTCHA、または悪用防止メカニズムが存在しないため、Budibaseの……
- 2026-04-22
lfprojectsのmlflowにおける重要な機能に対する認証の欠如に関する脆弱性
mlflow/mlflowにおいて、basic-authアプリが有効な場合でも、/ajax-api/3.0/jobs/*以下のFastAPIジョブエンドポイントは認証や認可によって保護されていません。この脆弱性はリポジトリの最新バージョンに……
- 2026-04-22
CanonicalのJujuにおける不正な認証に関する脆弱性
Jujuは、『チャーム』と呼ばれる特殊なオペレーターを通じて、あらゆる規模のインフラ上であらゆるアプリケーションの操作を可能にするオープンソースのアプリケーションオーケストレーションエンジンです。バージョン2.9から2.9.56未満、および……
- 2026-04-22
CanonicalのJujuにおける不正な認証に関する脆弱性
Jujuは、“charms”と呼ばれる特別なオペレーターを通じて、あらゆるインフラストラクチャ上であらゆる規模のあらゆるアプリケーション操作を可能にするオープンソースのアプリケーションオーケストレーションエンジンです。バージョン2.9から2……
- 2026-04-22
Jeremiah LowinのFastMCPにおけるOS コマンドインジェクションの脆弱性
FastMCPはMCPアプリケーションを構築するための標準フレームワークです。バージョン3.2.0以前では、シェルのメタ文字(例:&)を含むサーバー名が、fastmcp install claude-codeまたはfastmcp i……
- 2026-04-22
Progress Software CorporationのShareFile Storage Zone Controllerにおける複数の脆弱性
認証されたユーザーが悪意のあるファイルをサーバーにアップロードし、それを実行できるため、リモートコード実行が可能になる。
- 2026-04-22
Progress Software CorporationのShareFile Storage Zone Controllerにおける複数の脆弱性
カスタマーマネージドのShareFileストレージゾーンズコントローラー(SZC)は、認証されていない攻撃者が制限された構成ページにアクセスできる脆弱性があります。これにより、システム構成を変更し、潜在的にリモートコードを実行する可能性があ……
- 2026-04-22
PerconaのPercona Monitoring and Managementにおける不要な特権による実行に関する脆弱性
Percona PMM 3.7より前のバージョンに問題が発見されました。内部データベースユーザーが特定のスーパーユーザー権限を保持しているため、pmm-admin権限を持つ攻撃者は「データソースの追加」機能を悪用し、データベースコンテキスト……