- 2026-01-06
FreshRSSにおける429 Retry-Afterレスポンス処理に起因するサービス拒否を引き起こす脆弱性
FreshRSSは無料でセルフホスト可能なRSSアグリゲーターです。バージョン1.27.0から1.28.0未満では、攻撃者がプロキシを通じて多数のフィードに対して429 Retry-Afterを返すように改変すると、インスタンス上のフィード……
NVNB154th page
- 2026-01-06
Parse ServerのInstagram認証アダプターにおけるSSRFを利用した認証回避の脆弱性
Parse Serverは、Node.jsを実行できるあらゆるインフラストラクチャにデプロイ可能なオープンソースのバックエンドです。バージョン8.6.2および9.1.1-alpha.1より前では、Instagram認証アダプターが`auth……
- 2026-01-06
Weblateにおける任意ファイル読み取りの脆弱性
Weblateはウェブベースのローカライズツールです。バージョン5.15.1より前のバージョンでは、リポジトリ内で細工されたシンボリックリンクを使用することで、サーバーのファイルシステムから任意のファイルを読み取ることができました。この問題……
- 2026-01-06
WeblateにおけるリモートからのGit設定上書きに関する脆弱性
Weblateはウェブベースのローカライズツールです。バージョン5.15.1より前のバージョンでは、リモートからGitの設定を上書きして一部の動作を変更できました。この問題はバージョン5.15.1で修正されました。
- 2026-01-06
イメージマジックのTIFFファイル処理によりクラッシュを引き起こす脆弱性
ImageMagickは、デジタル画像の編集や操作に使用されるフリーかつオープンソースのソフトウェアです。バージョン7.1.1-14より前のImageMagickには、細工されたTIFFファイルを処理する際にクラッシュする脆弱性が存在しまし……
- 2026-01-06
LangflowのAPIリクエスト処理により情報漏洩を引き起こす脆弱性
Langflowは、AIを活用したエージェントやワークフローの構築・デプロイのためのツールです。バージョン1.7.0より前のLangflowには「API Request」コンポーネントが存在し、フロー内で任意のHTTPリクエストを発行できま……
- 2026-01-06
Langflow 1.7.0以前のfs_pathパラメータの制限不備による任意ファイル作成・上書きの脆弱性
Langflowは、AI搭載のエージェントやワークフローを構築・デプロイできるツールです。バージョン1.7.0以前では、リクエストボディの `fs_path` に任意のパスが指定されると、サーバーがFlowオブジェクトをJSONにシリアライ……
- 2026-01-06
Leap13 Premium Addons for Elementor における情報漏えいの脆弱性
Leap13 Premium Addons for Elementor(premium-addons-for-elementor)には、権限のないコントロール範囲への機密なシステム情報が露出する脆弱性があります。その結果、埋め込まれた機密デ……
- 2026-01-06
n8nの式評価機能により認証済みユーザーがリモートでコード実行可能となる脆弱性
n8nはオープンソースのワークフロー自動化プラットフォームです。バージョン0.211.0以降、1.120.4、1.121.1、1.122.0より前のバージョンには、ワークフローの式評価システムに深刻なリモートコード実行(RCE)の脆弱性が存……
- 2026-01-06
LibreNMSのアラートルールAPIに保存型XSSが発生する脆弱性
LibreNMSは自動検出機能を備えたPHP/MySQL/SNMPベースのネットワーク監視ツールです。バージョン25.12.0より前のバージョンには、アラートルールAPIに保存型クロスサイトスクリプティング(Stored XSS)の脆弱性が……