- 2026-01-06
Giteaのタグやブランチ作成機能におけるXSSの脆弱性
Gitea 1.22.2以前のバージョンでは、タグやブランチ作成時の検索入力ボックスがv-textではなくv-htmlを使用しているため、XSS(クロスサイトスクリプティング)が発生する可能性があります。
NVNB156th page
- 2026-01-06
Giteaのユーザー探索で最終ログイン時刻が漏洩する脆弱性
Gitea 1.21.8以前のバージョンでは、(たとえば)explore/usersのsort orderとしてlastlogintimeを許可することにより、ユーザーの最終ログイン時間が意図せず公開されてしまいます。
- 2026-01-06
Gitea 1.22.2以前のパッケージレジストリにおけるアクセストークンスコープ伝播処理の脆弱性
Gitea 1.22.2以前のバージョンでは、独自のパッケージレジストリの1つにおいて、アクセストークンのスコープ伝播処理が不適切に実施される可能性があります。
- 2026-01-06
Gitea 1.21.2未満における匿名ユーザーによるプライベートプロジェクト不正アクセスの脆弱性
Gitea 1.21.2 未満のバージョンでは、匿名ユーザーがプライベートユーザーのプロジェクトにアクセスできてしまう問題が報告されています。
- 2026-01-06
Giteaのリンク処理において発生するクロスサイトスクリプティングの脆弱性
Gitea バージョン 1.20.1 より前では、javascript: などの禁止された URL スキームがリンクに使用できるため、XSS(クロスサイトスクリプティング)脆弱性が発生します。
- 2026-01-06
SiYuanにおけるセッションストアのハードコード暗号化キーによるセッションクッキー情報漏洩の脆弱性
SiYuanはセルフホスト型のオープンソース個人ナレッジマネジメントソフトウェアです。バージョン3.5.1以前では、SiYuan Noteアプリケーションがセッションストアにハードコードされた暗号化キーを使用しています。この安全でない運用に……
- 2026-01-06
GreenCMSにおけるアップロード機能の悪用による任意ファイル送信の脆弱性
GreenCMS バージョン 2.3.0603 までに脆弱性が確認されています。この脆弱性は、/index.php?m=admin&c=media&a=fileconnect ファイルの不明な部分に影響を与えます。引数 up……
- 2026-01-06
Google OAuthの’aud’フィールド未検証によりアカウント乗っ取りが可能となる認証不備の脆弱性
lunary-ai/lunary バージョン1.9.34には、Google OAuth統合における認証不備があり、アカウントが乗っ取られる脆弱性が存在します。アプリケーションでは、Googleによって発行されたアクセストークンの ̵……
- 2026-01-06
Tenda F1202における管理画面の認証情報漏えい脆弱性
Tenda F1202 1.2.0.9、1.2.0.14、1.2.0.20には脆弱性が存在しています。不明な機能(管理インターフェースのコンポーネント)を通じて/etc_ro/shadowファイルに影響が及びます。Fireitupという入力……
- 2026-01-06
myBB フォーラム 1.8.26のテンプレート編集機能における保存型XSSの脆弱性
myBB Forums 1.8.26には、テンプレート管理システムに保存型クロスサイトスクリプティング(XSS)の脆弱性が存在します。この脆弱性により、認証された管理者が新しいテンプレートを作成する際、悪意のあるスクリプトを挿入できます。攻……