- 2026-01-08
gitea projectのgiteaにおけるリクエストに対するレスポンス内容の違いに起因する情報漏えいに関する脆弱性
Gitea 1.25.2以前のバージョンでは、/api/v1/userの認証に失敗した際、ユーザー名の存在有無によって異なる応答が返されます。
NVNB107th page
- 2026-01-08
QNAP SystemsのQNAP QTS等の複数製品における認可されていない制御領域への重要情報の漏えいに関する脆弱性
複数のQNAPオペレーティングシステムで、権限のない管理領域から機密なシステム情報が露出する脆弱性が報告されています。リモートの攻撃者がこの脆弱性を悪用することで、アプリケーションデータを読み取る可能性があります。QTS 5.2.8.333……
- 2026-01-08
yhiroseのcpp-httplibにおけるCRLF インジェクションの脆弱性
cpp-httplibは、C++11で実装された単一ファイルのヘッダオンリー型クロスプラットフォームHTTP/HTTPSライブラリです。バージョン0.30.0以前では、「write_headers」関数がユーザーから提供されたヘッダー内のC……
- 2026-01-08
ConnectifyのSpeedifyにおけるコマンドインジェクションの脆弱性
Speedify VPNのバージョン15.0.0までのme.connectify.SMJobBlessHelper XPCサービスにはコマンドインジェクションの脆弱性が存在し、攻撃者が任意のコマンドをroot権限で実行できてしまいます。
- 2026-01-08
Nozomi Networks Inc.のCMC等の複数製品におけるクロスサイトスクリプティングの脆弱性
ストアドHTMLインジェクションの脆弱性が、ネットワークトラフィックデータの検証不備によってTime MachineのSnapshot Diff機能から発見されました。認証されていない攻撃者は、異なる2つのタイミングで細工されたネットワーク……
- 2026-01-08
Nozomi Networks Inc.のCMC等の複数製品におけるクロスサイトスクリプティングの脆弱性
レポート機能において入力パラメータの検証が不十分だったため、保存型クロスサイトスクリプティング(Stored XSS)の脆弱性が発見されました。レポート権限を持つ認証済みユーザーは、JavaScriptペイロードを含む悪意あるレポートを作成……
- 2026-01-08
Nozomi Networks Inc.のCMC等の複数製品におけるクロスサイトスクリプティングの脆弱性
ネットワークトラフィックデータの検証が不十分であるため、アセットリスト機能に保存型HTMLインジェクションの脆弱性が存在します。未認証の攻撃者は、特別に細工したネットワークパケットを送信することで、アセット属性にHTMLタグを注入できます。……
- 2026-01-08
Nozomi Networks Inc.のCMC等の複数製品におけるパストラバーサルの脆弱性
インポートArcデータアーカイブ機能では、入力ファイルの検証が不十分であったため、パストラバーサルの脆弱性が発見されています。限定された権限を持つ認証済みユーザーが、特別に細工されたArcデータアーカイブをアップロードすることで、任意のファ……
- 2026-01-08
PleskのPlesk等の複数製品におけるアクセス制御に関する脆弱性
Plesk 18.0 には不適切なアクセス制御の問題があります。攻撃者がこれを悪用すると、認可されていない操作を実行できる可能性があります。
- 2026-01-08
EsriのArcGIS Serverにおけるクロスサイトスクリプティングの脆弱性
Esri ArcGIS Server 11.4およびそれ以前のWindowsおよびLinuxバージョンには、保存型クロスサイトスクリプティングの脆弱性が存在します。特定の構成下では、リモートの認証されていない攻撃者が悪意のあるコードを含むフ……