- 2026-04-17
CoolerControlにおけるOS コマンドインジェクションの脆弱性
CoolerControl/coolercontrold 4.0.0 のアラートにおけるコマンドインジェクションにより、認証済みの攻撃者がアラート名に注入された bash コマンドを介して root 権限で任意のコードを実行できます。
JVN iPedia44th page
- 2026-04-17
Agentfront等の複数ベンダの製品におけるサーバサイドのリクエストフォージェリの脆弱性
FrontMCPは、Model Context Protocol(MCP)向けのTypeScriptファーストフレームワークです。2.3.0以前のバージョンでは、mcp-from-openapiライブラリが@apidevtools/json……
- 2026-04-17
Nix/Nixpkgs/NixOSのNixにおけるUNIX Symbolic Link のフォローに関する脆弱性
NixはLinuxやその他のUnixシステム向けのパッケージマネージャーです。修正中のバグにより、固定出力導出出力の登録時にシンボリックリンクをたどることで、ビルドをオーケストレーションするNixプロセスが書き込み可能なファイルを任意に上書……
- 2026-04-17
Emmettにおけるパストラバーサルの脆弱性
Emmettはシンプルさを追求したフルスタックのPythonウェブフレームワークです。バージョン2.5.0から2.8.1未満の間、Emmettの内部アセット(/__emmett__パス)に対するRSGI静的ハンドラーがパストラバーサル攻撃に……
- 2026-04-17
Development of Kubernetes-like Control Planesのkcpにおける複数の脆弱性
kcpは、Kubernetesやコンテナワークロードを超えたフォームファクターやユースケース向けのKubernetes類似のコントロールプレーンです。0.30.3および0.29.3以前のバージョンでは、キャッシュサーバーがルートシャードによ……
- 2026-04-17
Cronicleにおける認証の欠如に関する脆弱性
Cronicleは、複数サーバーに対応したタスクスケジューラー兼ランナーであり、ウェブベースのフロントエンドUIを備えています。バージョン0.9.111より前のバージョンでは、jbの子プロセスがJSON出力にupdate_eventキーを含……
- 2026-04-17
Cronicleにおけるクロスサイトスクリプティングの脆弱性
Cronicleは複数のサーバーに対応したタスクスケジューラーおよびランナーであり、ウェブベースのフロントエンドUIを備えています。バージョン0.9.111より前のバージョンでは、create_eventsおよびrun_eventsの権限を……
- 2026-04-17
Delmare DigitalのPayload-puckにおける認証の欠如に関する脆弱性
@delmaredigital/payload-puck は、Puck ビジュアルページビルダーを統合するための PayloadCMS プラグインです。0.6.23 より前のバージョンでは、createPuckPlugin() によって登録……
- 2026-04-17
vitejsのVite+等の複数製品におけるパストラバーサルの脆弱性
ViteはJavaScript向けのフロントエンドツールフレームワークです。バージョン6.0.0から6.4.2、7.3.2、および8.0.5の前まで、devサーバーの最適化された依存関係の.mapリクエストの処理において、ファイルパスの解決……
- 2026-04-17
vitejsのVite+等の複数製品における複数の脆弱性
ViteはJavaScriptのフロントエンド開発用ツールフレームワークです。バージョン7.1.0から7.3.2未満および8.0.5にかけて、Viteの開発サーバーでは、server.fs.denyでブロックされるべきファイル(例: .en……