- 2026-04-17
RostislavのQuickDropにおけるクロスサイトスクリプティングの脆弱性
QuickDropは使いやすいファイル共有アプリケーションです。バージョン1.5.3以前には、ファイルプレビューのエンドポイントに格納型XSS脆弱性が存在していました。アプリケーションは/api/file/upload-chunkエンドポイ……
NVNB18th page
- 2026-04-17
RackのRack::Sessionにおける複数の脆弱性
Rack::SessionはRackのセッション管理の実装です。バージョン2.0.0から2.1.2未満の間、Rack::Session::Cookieはsecretsが設定されている場合の復号失敗を正しく処理していませんでした。クッキーの復……
- 2026-04-17
DrizzleにおけるSQL インジェクションの脆弱性
Drizzleは最新のTypeScript ORMです。バージョン0.45.2および1.0.0-beta.20以前のDrizzle ORMでは、方言固有のescapeName()実装が引用されたSQL識別子を不適切にエスケープしていました。……
- 2026-04-17
vitejsのVite+等の複数製品における複数の脆弱性
ViteはJavaScriptのためのフロントエンドツールフレームワークです。バージョン6.0.0から6.4.2未満、7.3.2未満、および8.0.5未満の間で、OriginヘッダーなしでVite開発サーバーのWebSocketに接続できる……
- 2026-04-17
vitejsのVite+等の複数製品における複数の脆弱性
ViteはJavaScriptのフロントエンド開発用ツールフレームワークです。バージョン7.1.0から7.3.2未満および8.0.5にかけて、Viteの開発サーバーでは、server.fs.denyでブロックされるべきファイル(例: .en……
- 2026-04-17
vitejsのVite+等の複数製品におけるパストラバーサルの脆弱性
ViteはJavaScript向けのフロントエンドツールフレームワークです。バージョン6.0.0から6.4.2、7.3.2、および8.0.5の前まで、devサーバーの最適化された依存関係の.mapリクエストの処理において、ファイルパスの解決……
- 2026-04-17
Delmare DigitalのPayload-puckにおける認証の欠如に関する脆弱性
@delmaredigital/payload-puck は、Puck ビジュアルページビルダーを統合するための PayloadCMS プラグインです。0.6.23 より前のバージョンでは、createPuckPlugin() によって登録……
- 2026-04-17
Cronicleにおけるクロスサイトスクリプティングの脆弱性
Cronicleは複数のサーバーに対応したタスクスケジューラーおよびランナーであり、ウェブベースのフロントエンドUIを備えています。バージョン0.9.111より前のバージョンでは、create_eventsおよびrun_eventsの権限を……
- 2026-04-17
Cronicleにおける認証の欠如に関する脆弱性
Cronicleは、複数サーバーに対応したタスクスケジューラー兼ランナーであり、ウェブベースのフロントエンドUIを備えています。バージョン0.9.111より前のバージョンでは、jbの子プロセスがJSON出力にupdate_eventキーを含……
- 2026-04-17
Development of Kubernetes-like Control Planesのkcpにおける複数の脆弱性
kcpは、Kubernetesやコンテナワークロードを超えたフォームファクターやユースケース向けのKubernetes類似のコントロールプレーンです。0.30.3および0.29.3以前のバージョンでは、キャッシュサーバーがルートシャードによ……