- 2026-04-03
Jon Schlinkertのpicomatchにおける非効率的な正規表現の複雑さに関する脆弱性
PicomatchはJavaScriptで書かれたグロブマッチャーです。バージョン4.0.4、3.0.2、2.3.2より前のバージョンには、細工されたextglobパターンを処理する際に正規表現拒否サービス攻撃(ReDoS)の脆弱性がありま……
JVN iPedia89th page
- 2026-04-03
yansongdaのPayにおけるスプーフィングによる認証回避に関する脆弱性
Payは、さまざまな中国の決済サービス向けのオープンソースの決済SDK拡張パッケージです。バージョン3.7.20以前では、`src/Functions.php`内の`verify_wechat_sign()`関数が、PSR-7リクエストでホ……
- 2026-04-03
Nginx UI Team等の複数ベンダの製品における競合状態に関する脆弱性
Nginx UIはNginxウェブサーバーのためのウェブユーザーインターフェースです。バージョン2.3.4以前のnginx-uiアプリケーションには競合状態の脆弱性があります。同期機構(Mutex)が全くなく、非アトミックなファイル書き込み……
- 2026-04-03
マイクロソフトの.NET等の複数製品における境界外読み取りに関する脆弱性
.NETにおける境界外読み取りにより、権限のない攻撃者がネットワークを介してサービス拒否を引き起こす可能性があります。
- 2026-04-03
YokeCDのyokeにおけるコードインジェクションの脆弱性
YokeはHelmに触発されたインフラストラクチャコード(IaC)パッケージデプロイヤーです。バージョン0.19.0およびそれ以前のバージョンには、YokeのAir Traffic Controller(ATC)コンポーネントに脆弱性があり……
- 2026-04-03
YokeCDのyokeにおける重要な機能に対する認証の欠如に関する脆弱性
YokeはHelmに触発されたインフラストラクチャ・アズ・コード(IaC)パッケージデプロイヤーです。バージョン0.19.0以前のYokeのAir Traffic Controller(ATC)コンポーネントには脆弱性があります。ATCのW……
- 2026-04-03
hyprのHYPRにおけるユーザ制御の鍵による認証回避に関する脆弱性
HYPRサーバーにおけるユーザー制御キーの脆弱性により認可バイパスが可能となり、特権を昇格させることができます。この問題はバージョン9.5.2から10.7.2未満のサーバーに影響を与えます。
- 2026-04-03
マイクロソフトのazure_data_factoryにおける情報漏えいに関する脆弱性
Azure Data Factoryにおける機密情報が認可されていない主体に露出することにより、認可されていない攻撃者がネットワーク上で情報を開示できる可能性があります。
- 2026-04-03
Internationalization ProjectのInternationalizationにおける複数の脆弱性
Drupal 7のInternationalization (i18n)モジュールにおいて、i18n_nodeサブモジュールは「コンテンツの翻訳」と「コンテンツ翻訳の管理」の両方の権限を持つユーザーに、翻訳UIおよびそのオートコンプリートウ……
- 2026-04-03
Ralph Broenink (ralphje)のSignifyにおける権限管理に関する脆弱性
ralphjeのSignify v0.9.2より前のバージョンにおいて、signed_data.pyおよびcontext.pyコンポーネントを介してリモートの攻撃者が権限を昇格させる脆弱性があります。