- 2026-03-02
esm-devのesm.shにおけるサーバサイドのリクエストフォージェリの脆弱性
esm.shはウェブ開発のためのビルド不要のコンテンツ配信ネットワーク(CDN)です。バージョン137まで(137を含む)には、esm.shの`/http(s)`フェッチルートにSSRF脆弱性(CWE-918)が存在します。このサービスはl……
NVNB137th page
- 2026-03-02
Ralph SlootenのMailpitにおけるサーバサイドのリクエストフォージェリの脆弱性
Mailpitは開発者向けのメールテストツールおよびAPIです。バージョン1.29.2以前では、Link Check API(/api/v1/message/{ID}/link-check)がサーバーサイドリクエストフォージェリ(SSRF)……
- 2026-03-02
dottie projectのdottieにおけるオブジェクトプロトタイプ属性の不適切に制御された変更に関する脆弱性
DottieはJavaScriptでネストされたオブジェクトのアクセスおよび操作を提供するライブラリです。バージョン2.0.4から2.0.6には脆弱性に対する不完全な修正が含まれていました。コミット7d3aee1で導入されたプロトタイプ汚染……
- 2026-03-02
pypdf projectのpypdfにおけるリソースの枯渇に関する脆弱性
pypdfは無料かつオープンソースの純粋なPython製PDFライブラリです。バージョン6.7.3以前では、この脆弱性を悪用する攻撃者がRAMを枯渇させるPDFを作成することが可能でした。この問題は、リーダーまたはライターの`xfa`プロパ……
- 2026-03-02
minimatch projectのminimatchにおけるアルゴリズムの複雑さに関する脆弱性
minimatchは、glob式をJavaScriptの正規表現オブジェクトに変換するための最小限のマッチングユーティリティです。バージョン10.2.3、9.0.7、8.0.6、7.4.8、6.2.2、5.1.8、4.2.5、および3.1.……
- 2026-03-02
minimatch projectのminimatchにおける非効率的な正規表現の複雑さに関する脆弱性
minimatchは、グロブ表現をJavaScriptのRegExpオブジェクトに変換するための最小限のマッチングユーティリティです。バージョン10.2.3、9.0.7、8.0.6、7.4.8、6.2.2、5.1.8、4.2.5、および3.……
- 2026-03-02
fast-xml-parser projectのfast-xml-parserにおける古典的バッファオーバーフローの脆弱性
fast-xml-parserは、ユーザーがXMLの検証、XMLからJSオブジェクトへの解析、またはJSオブジェクトからのXML構築を、C/C++に基づくライブラリやコールバックなしで行うことを可能にします。バージョン5.3.8以前では、`……
- 2026-03-02
OpenEMRにおけるユーザ制御の鍵による認証回避に関する脆弱性
OpenEMRは無料かつオープンソースの電子カルテおよび医療実践管理アプリケーションです。バージョン8.0.0まで(8.0.0を含む)において、眼科検査(eye_mag)ビューは、フォームが現在のユーザーの患者/診察コンテキストに属している……
- 2026-03-02
9001のcopypartyにおけるクロスサイトスクリプティングの脆弱性
Copypartyはポータブルファイルサーバーです。バージョン1.20.9より前のバージョンには、URLパラメータ`?setck=…`を介したリフレクト型クロスサイトスクリプティング(XSS)の脆弱性が存在しました。この問題はバ……
- 2026-03-02
FreeRDPにおける解放済みメモリの使用に関する脆弱性
FreeRDPはリモートデスクトッププロトコルの無償実装です。バージョン3.23.0以前では、ヒープ使用後解放の修正が不完全でした。SDL2実装では解放後にポインタがヌルに設定されず、これにより脆弱性が残っていました。修正はSDL3のコード……