- 2026-04-08
マイクロソフトのAzure Web Appsにおける重要な機能に対する認証の欠如に関する脆弱性
Azure MCP サーバーの重要な機能に認証が欠如しているため、認証されていない攻撃者がネットワークを通じて情報を漏洩させる可能性があります。
JVN iPedia88th page
- 2026-04-08
DesDev Inc.のDedeCMSにおけるコードインジェクションの脆弱性
DedeCMS 5.7.118において、モジュールのアップロード時に細工されたsetupタグの値を介して攻撃者がコードを実行できる問題が発見されました。
- 2026-04-08
osrgのGoBGPにおけるリソースの枯渇に関する脆弱性
GoBGP gobgpd バージョン4.2.0における問題により、リモートの攻撃者がNEXT_HOPパス属性を介してサービス拒否を引き起こす可能性があります。
- 2026-04-08
Roo Codeにおけるコードインジェクションの脆弱性
Roo Codeのコマンド自動承認モジュールには重大なOSコマンドインジェクションの脆弱性があり、そのホワイトリストによるセキュリティ機構を完全に無効化します。システムはコマンド構造を解析するために脆弱な正規表現に依存しており、危険な操作を……
- 2026-04-03
VMwareのSpring AIにおける言語構文の表現に使用される特殊な要素の不適切な無効化に関する脆弱性
Spring AIのAbstractFilterExpressionConverterにおけるJSONPathインジェクションの脆弱性は、認証済みユーザーが細工されたフィルター式を通じてメタデータに基づくアクセス制御を回避できる問題です。ユ……
- 2026-04-03
baserCMSユーザー会のbaserCMSにおけるOS コマンドインジェクションの脆弱性
baserCMSはウェブサイト開発フレームワークです。バージョン5.2.3以前のbaserCMSには、コアのアップデート機能にOSコマンドインジェクションの脆弱性が存在していました。認証された管理者が、十分な検証やエスケープを行わずにexe……
- 2026-04-03
TP-LINK TechnologiesのAginet等の複数製品における証明書検証に関する脆弱性
証明書検証ロジックの脆弱性により、アプリケーションはTLS通信中に信頼されていない、または不適切に検証されたサーバーの識別情報を受け入れてしまう可能性があります。特権的なネットワーク位置にいる攻撃者が通信チャネル内に自身を配置できれば、トラ……
- 2026-04-03
TP-LINK TechnologiesのAginet等の複数製品における過度に許容されるクロスドメインホワイトリストに関する脆弱性
寛容なWebセキュリティ設定により、特定の状況下で最新のブラウザが強制するクロスオリジン制限を回避できる可能性があります。悪用するためには、既存のクライアントサイドインジェクション脆弱性が存在し、影響を受けるWebインターフェースへのユーザ……
- 2026-04-03
baserCMSユーザー会のbaserCMSにおける危険なタイプのファイルの無制限アップロードに関する脆弱性
baserCMSはウェブサイト開発フレームワークです。バージョン5.2.3以前では、アプリケーションの復元機能においてユーザーが.zipファイルをアップロードすると、そのファイルが自動的に展開されます。アーカイブ内のPHPファイルはファイル……
- 2026-04-03
Jon Schlinkertのpicomatchにおけるオブジェクトプロトタイプ属性の不適切に制御された変更に関する脆弱性
PicomatchはJavaScriptで書かれたグロブマッチャーです。バージョン4.0.4未満、3.0.2未満、および2.3.2未満には、`POSIX_REGEX_SOURCE`オブジェクトに影響を与えるメソッドインジェクションの脆弱性が……