- 2026-01-06
Orangescrumの複数の入力パラメータにおけるクロスサイトスクリプティング(XSS)が原因で、情報漏えいの恐れがある脆弱性
Orangescrum 1.8.0 には複数のクロスサイトスクリプティング(XSS)脆弱性が存在しており、認証済みの攻撃者がさまざまな入力パラメータを通じて悪意のあるスクリプトを注入できます。攻撃者は ‘projid’……
JVN iPedia95th page
- 2026-01-06
Hasura GraphQLにおける任意のスキーマURLを注入されサーバーにリクエストを送信させられる脆弱性
Hasura GraphQL 1.3.3 には、add_remote_schema エンドポイントを通じて任意のリモートスキーマ URL を注入できるサーバーサイドリクエストフォージェリ(SSRF)の脆弱性が存在します。攻撃者は、細工された……
- 2026-01-06
Hasura GraphQL 1.3.3のSQLインジェクションによるファイル読み取りをされる脆弱性
Hasura GraphQL 1.3.3 にはローカルファイルリードの脆弱性があり、攻撃者がクエリーエンドポイントでSQLインジェクションを行うことでシステムファイルにアクセスできてしまいます。攻撃者は悪意のあるSQLクエリを作成し、Pos……
- 2026-01-06
Hasura GraphQLの過度なネストによりサービス拒否が発生する脆弱性
Hasura GraphQL 1.3.3 にはサービス拒否(DoS)の脆弱性が存在し、攻撃者が過度にネストされたフィールドを持つ悪意のある GraphQL クエリを作成することでサービスを圧倒できます。また、攻撃者が非常に長いクエリ文字列と……
- 2026-01-06
FaceSentryにおける認証済みコマンドインジェクションにより発生する脆弱性
FaceSentry 6.4.8には、pingTest.phpとtcpPortTest.phpスクリプトに認証済みリモートコマンドインジェクションの脆弱性が存在しています。攻撃者は、入力パラメータの不適切なサニタイズを悪用し、’……
- 2026-01-06
FaceSentry Access Control Systemにおけるユーザー操作を乗っ取られるおそれがある認証処理の脆弱性
FaceSentry Access Control System 6.4.8 にはクロスサイトリクエストフォージェリ(CSRF)の脆弱性が存在し、攻撃者がユーザーの同意なしに管理者権限の操作を実行できることが確認されています。攻撃者は、細工……
- 2026-01-06
Linuxカーネルにおけるファームウェアアップロード時にメモリリークが発生する脆弱性
Linuxカーネルのfirmware_loaderにおいて、ファームウェアのアップロード時にメモリリークが発生する問題が修正されました。
- 2026-01-06
FaceSentryアクセス制御システム 6.4.8のハードコードされたSSH認証情報に関する脆弱性
FaceSentry Access Control System 6.4.8 には、wwwuser アカウントのハードコードされた SSH 認証情報による深刻な認証の脆弱性が存在します。攻撃者は安全でない sudoers 設定を悪用し、認証……
- 2026-01-06
CSZ CMS 1.2.7における認証不要で悪意のあるスクリプトを注入できる脆弱性
CSZ CMS 1.2.7には永続的なクロスサイトスクリプティング(XSS)の脆弱性が存在し、認証されていないユーザーがプライベートメッセージ内に悪意のあるJavaScriptを埋め込むことができます。攻撃者は、スクリプトペイロードを含むメ……
- 2026-01-06
FLIR AX8の認証なしライブ映像アクセスの脆弱性
FLIR AX8 サーマルカメラ バージョン 1.32.16 には、リモートの攻撃者が認証せずにライブビデオストリームへアクセスできる脆弱性があります。攻撃者は、VLC や FFmpeg などのツールを使用して RTSP ストリームに直接接……