- 2026-04-17
vitejsのVite+等の複数製品における複数の脆弱性
ViteはJavaScriptのためのフロントエンドツールフレームワークです。バージョン6.0.0から6.4.2未満、7.3.2未満、および8.0.5未満の間で、OriginヘッダーなしでVite開発サーバーのWebSocketに接続できる……
JVN iPedia42nd page
- 2026-04-17
DrizzleにおけるSQL インジェクションの脆弱性
Drizzleは最新のTypeScript ORMです。バージョン0.45.2および1.0.0-beta.20以前のDrizzle ORMでは、方言固有のescapeName()実装が引用されたSQL識別子を不適切にエスケープしていました。……
- 2026-04-17
RackのRack::Sessionにおける複数の脆弱性
Rack::SessionはRackのセッション管理の実装です。バージョン2.0.0から2.1.2未満の間、Rack::Session::Cookieはsecretsが設定されている場合の復号失敗を正しく処理していませんでした。クッキーの復……
- 2026-04-17
RostislavのQuickDropにおけるクロスサイトスクリプティングの脆弱性
QuickDropは使いやすいファイル共有アプリケーションです。バージョン1.5.3以前には、ファイルプレビューのエンドポイントに格納型XSS脆弱性が存在していました。アプリケーションは/api/file/upload-chunkエンドポイ……
- 2026-04-17
JdxのMiseにおけるアクセス制御に関する脆弱性
mise は node、python、cmake、terraform などの開発ツールを管理するツールです。2026年2月18日から2026年4月5日までの間、mise はトラストチェックが実行される前にローカルプロジェクトの .mise.……
- 2026-04-17
FUTOのImmichにおけるクロスサイトスクリプティングの脆弱性
immichは高性能なセルフホスト型の写真・動画管理ソリューションです。バージョン2.7.0以前では、360°パノラマビューアに格納型クロスサイトスクリプティング(XSS)の脆弱性が存在し、認証済みの任意のユーザーがOCRオーバーレイが有効……
- 2026-04-17
libsdlのSDL Imageにおける境界外読み取りに関する脆弱性
SDL_imageは、様々な形式の画像をSDLサーフェスとして読み込むライブラリです。src/IMG_xcf.cのdo_layer_surface()関数において、デコードされたXCFタイルデータのピクセルインデックス値が、カラーマップサイ……
- 2026-04-17
ContainersのAardvark-dnsにおける複数の脆弱性
Aardvark-dnsはA/AAAAコンテナレコードのための権威DNSサーバーです。バージョン1.16.0から1.17.0において、切り詰められたTCP DNSクエリの後に接続がリセットされると、aardvark-dnsは回復不能な無限エ……
- 2026-04-17
David Foster (davidfstr)のDiscount Markdown Processor for Rubyにおける境界外読み取りに関する脆弱性
DiscountはJohn GruberのMarkdownマークアップ言語をC言語で実装したものです。バージョン1.3.1.1から2.2.7.4未満の間、符号付き長さ切り捨てバグにより、デフォルトのMarkdown解析パスで境界外読み取りが……
- 2026-04-17
マイクロソフトのSymCryptにおけるヒープベースのバッファオーバーフローの脆弱性
SymCryptは現在Windowsで使用されている主要な暗号関数ライブラリです。バージョン103.5.0から103.11.0未満の間、SymCryptXmssSign関数は64ビットのリーフカウント値を32ビットパラメータを受け取るヘルパ……