- 2026-04-17
lfprojectsのMCP Go SDKにおけるクロスサイトリクエストフォージェリの脆弱性
Go MCP SDKはGoの標準encoding/jsonを使用しています。バージョン1.4.1以前のGo SDKのStreamable HTTPトランスポートは、ブラウザが生成したクロスサイトの`POST`リクエストに対して`Origin……
NVNB24th page
- 2026-04-17
Apache Software FoundationのApache OpenMeetingsにおけるハードコードされた暗号鍵の使用に関する脆弱性
Apache OpenMeetings におけるハードコードされた暗号鍵の脆弱性です。remember-me クッキーの暗号化鍵が openmeetings.properties にてデフォルト値に設定されており、自動でローテーションされて……
- 2026-04-17
openidentityplatformのopenamにおける信頼できないデータのデシリアライゼーションに関する脆弱性
Open Access Management (OpenAM) はアクセス管理ソリューションです。16.0.6以前のOpenIdentityPlatform OpenAMにおいて、jato.clientSession HTTPパラメータの安……
- 2026-04-17
Apache Software FoundationのApache OpenMeetingsにおけるGET リクエストにおけるクエリ文字列からの情報漏えいに関する脆弱性
Apache OpenMeetingsにおける機密クエリ文字列を含むGETリクエストメソッドの使用に関する脆弱性です。RESTログインエンドポイントは、ユーザー名とパスワードをクエリパラメータとして渡すHTTP GETメソッドを使用していま……
- 2026-04-17
Linux FoundationのPodman Desktopにおける複数の脆弱性
Podman Desktopは、コンテナおよびKubernetes上での開発のためのグラフィカルツールです。バージョン1.26.2より前のPodman Desktopが公開する認証なしのHTTPサーバーにより、任意のネットワーク攻撃者がリモ……
- 2026-04-17
openwebuiのopen webuiにおける認可に関する脆弱性
Open WebUIは完全にオフラインで動作するように設計されたセルフホスト型の人工知能プラットフォームです。バージョン0.8.11以前には、ツールの値におけるアクセス制御の不備という脆弱性が存在していました。この問題はバージョン0.8.1……
- 2026-04-17
Himmelblau Idm ProjectのHimmelblauにおける権限管理に関する脆弱性
HimmelblauはMicrosoft Azure Entra IDおよびIntune向けの相互運用スイートです。バージョン2.0.0-alphaから2.3.9未満、および3.0.0-alphaから3.1.1未満の間に、エッジケースの名前……
- 2026-04-17
OpenClawにおける不完全なブラックリストに関する脆弱性
OpenClawのコミット8aceaf5以前のバージョンには、shell-bleed保護における事前検証バイパスの脆弱性が存在し、攻撃者がパイプを使用したり解析器が認識できない複雑なコマンド形式を用いることで、ブロックされたスクリプト内容を……
- 2026-04-16
Arcserve製UDP ConsoleにおけるダミーのURLへリダイレクトされる脆弱性
Arcserveが提供するUDP Consoleには、オフラインアクティベーションの通信がダミーのURLへリダイレクトされる脆弱性が存在します。
- 2026-04-16
オムロン製無停電電源装置(UPS)管理アプリケーションにおけるDLL読み込みに関する脆弱性
オムロン製無停電電源装置(UPS)管理アプリケーションには、DLLを読み込む際の検索パスの問題により、意図しないDLLを読み込んでしまう脆弱性が存在します。