- 2026-04-13
Mervin Praison (MervinPraison)のPraisonAIにおけるサーバサイドのリクエストフォージェリの脆弱性
PraisonAIはマルチエージェントチームシステムです。バージョン1.5.95より前のprisonaiagentsのFileTools.download_file()は宛先パスの検証は行いますが、URLパラメータの検証を行わず、これを直接……
JVN iPedia59th page
- 2026-04-13
Mervin Praison (MervinPraison)のPraisonAIにおける不正な認証に関する脆弱性
PraisonAIはマルチエージェントチームシステムです。バージョン4.5.97以前のOAuthManager.validate_token()は、内部ストアに存在しないトークンに対してTrueを返していました。内部ストアはデフォルトで空で……
- 2026-04-13
Mervin Praison (MervinPraison)のPraisonAIにおける重要な機能に対する認証の欠如に関する脆弱性
PraisonAIはマルチエージェントチームシステムです。バージョン4.5.97以前のPraisonAI Gatewayサーバーは、/wsでWebSocket接続を受け入れ、/infoで認証なしにエージェントのトポロジーを提供していました。……
- 2026-04-13
Mervin Praison (MervinPraison)のPraisonAIにおける非効率的な正規表現の複雑さに関する脆弱性
PraisonAIはマルチエージェントチームシステムです。バージョン4.5.90以前のMCPToolIndex.search_tools()は、呼び出し元が提供した文字列を検証・サニタイズせず、タイムアウトも設定せずに直接Pythonの正規……
- 2026-04-13
Bulwark MailのWebmailにおける認証に関する脆弱性
Bulwark WebmailはStalwart Mail Server用のセルフホスト型ウェブメールクライアントです。バージョン1.4.10以前には、verifyIdentity()関数がセッションCookieが存在しない場合にtrueを……
- 2026-04-13
Bulwark MailのWebmailにおける重要な情報の平文保存に関する脆弱性
Bulwark WebmailはStalwart Mail Server向けのセルフホスト型ウェブメールクライアントです。バージョン1.4.10より前のGET /api/auth/sessionエンドポイントでは、JSONレスポンス内にユー……
- 2026-04-13
NuxtのNuxt OG Image (nuxt-og-Image)におけるリソースの枯渇に関する脆弱性
Nuxt OG ImageはNuxtでVueテンプレートを使用してOG画像を生成するツールです。バージョン6.2.5以前のバージョンでは、URI: /_og/d/(および古いバージョンの/og-image/)経由で画像生成コンポーネントにサ……
- 2026-04-13
lexiforestのcurl_cffiにおけるサーバサイドのリクエストフォージェリの脆弱性
curl_cffiはcurlのPythonバインディングです。バージョン0.15.0以前のcurl_cffiは、内部IP範囲へのリクエストを制限せず、基盤となるlibcurlを通じて自動的にリダイレクトを追跡します。このため、攻撃者が操作す……
- 2026-04-13
Distribution ProjectのDistributionにおけるサーバサイドのリクエストフォージェリの脆弱性
Distributionはコンテナコンテンツをパック、出荷、保存、配信するためのツールキットです。3.1.0以前のプルスルーキャッシュモードでは、Distributionは設定されたアップストリームレジストリから返されるWWW-Authen……
- 2026-04-13
Kelvin Mo (kelvinmo)のSimpleJWTにおけるリソースの枯渇に関する脆弱性
SimpleJWTはPHPで書かれたシンプルなJSONウェブトークンライブラリです。バージョン1.1.1以前では、認証されていない攻撃者がPBES2アルゴリズムを使用する際にJWEヘッダーを改ざんしてサービス拒否(DoS)を引き起こす可能性……