- 2026-01-06
フロンティア航空ウェブサイトの認証されていないメールアドレス検証により情報漏えいにつながる脆弱性
フロンティア航空のウェブサイトには、メールアドレスがアカウントに関連付けられているかどうかを検証する公開エンドポイントが存在します。認証されていないリモートの攻撃者が有効なメールアドレスを特定できるため、さらなる攻撃に悪用される可能性があり……
NVNB168th page
- 2026-01-06
ネットワークリンク検証が不十分なため攻撃者がサーバーサイドリクエストフォージェリを引き起こすおそれがある脆弱性
FastGPTはAIエージェント構築プラットフォームです。バージョン4.11.1より前のバージョンでは、ワークフローのファイル読み込みノードでネットワークリンクのセキュリティ検証が行われていないため、SSRF攻撃のリスクが存在しました。この……
- 2026-01-06
FugueのFlaskRPCServerにおけるpickleデシリアライズの脆弱性
Fugueは、ユーザーがPython、Pandas、およびSQLコードをSpark、Dask、Ray上で最小限の書き換えで実行できる統合インターフェースです。バージョン0.9.2以前には、FlaskRPCServerを介したpickleデシ……
- 2026-01-06
XiangShan Nanhu V2およびKunmighu V3における投機的実行と間接分岐予測を悪用したキャッシュサイドチャネル情報漏洩の脆弱性
XiangShan Nanhu V2およびXiangShan Kunmighu V3は、投機的実行と間接分岐予測を使用しています。そのため、攻撃者がデータキャッシュのサイドチャネル解析を通じて機密情報にアクセスできる可能性があります。
- 2026-01-06
Dasan Switch DS2924のウェブインターフェースにおける認証回避に関する脆弱性
Dasan Switch DS2924のウェブベースインターフェイス(ファームウェアバージョン1.01.18および1.02.00)に、認証バイパスの問題が発見されました。攻撃者はウェブブラウザに細工されたCookieを保存することで、権限を……
- 2026-01-06
FiberHome GPON ONU HG6145F1 RP4423のSSIDから初期Wi-Fiパスワードを推測できる脆弱性
FiberHome GPON ONU HG6145F1 RP4423には、デバイスの工場出荷時のWi-Fiパスワード(WPA/WPA2事前共有キー)がSSIDから予測できる脆弱性があります。デバイスはSSIDからルータのパスフレーズを導出す……
- 2026-01-06
DifyのCORSミス設定による認証回避の脆弱性
Dify v1.9.1の/console/api/setupエンドポイントには、クロスオリジンリソースシェアリング(CORS)の設定ミスによる脆弱性が存在します。このエンドポイントは任意のOriginヘッダーを反映し、さらにAccess-C……
- 2026-01-06
Dify v1.9.1の/system-featuresエンドポイントに認証なしでアクセス可能な認可不備により機密情報が漏洩する脆弱性
Dify v1.9.1には不適切な権限管理の脆弱性があります。認証されていない攻撃者は、認証情報やセッショントークンなしで /console/api/system-features エンドポイントへ直接HTTP GETリクエストを送信できま……
- 2026-01-06
Dify v1.9.1におけるクロスオリジンリクエスト認証回避の脆弱性
Dify v1.9.1の/console/api/system-featuresエンドポイントには、クロスオリジンリソースシェアリング(CORS)の設定ミスによる脆弱性が存在します。このエンドポイントでは、過度に許容的なCORSポリシーが実……
- 2026-01-06
MCP Data Science Serverのsafe_eval関数におけるコマンドインジェクションの脆弱性
MCP Data Science Server(reading-plus-ai/mcp-server-data-exploration)バージョン0.1.6のsafe_eval()関数(src/mcp_server_ds/server.py……