- 2026-04-16
MontFerretのFerretにおける複数の脆弱性
Ferretはウェブデータを扱うための宣言型システムです。2.0.0-alpha.4以前のバージョンでは、Ferretの標準ライブラリ関数IO::FS::WRITEにパストラバーサルの脆弱性が存在しており、悪意のあるウェブサイトがFerre……
NVNB25th page
- 2026-04-16
Mervin Praison (MervinPraison)のPraisonAIにおけるOS コマンドインジェクションの脆弱性
PraisonAIはマルチエージェントチームシステムです。バージョン1.5.90より前のPraisonAIのrun_python()は、ユーザーが制御するコードをpython3 -c "code" に埋め込み、それをsu……
- 2026-04-16
Mervin Praison (MervinPraison)のPraisonAIにおける保護メカニズムの不具合に関する脆弱性
PraisonAIはマルチエージェントチームシステムです。バージョン1.5.90以前では、praisonai-agentsのexecute_code()が3層のサンドボックス内で攻撃者が制御するPythonコードを実行しますが、このサンドボ……
- 2026-04-16
KubeAIにおけるOS コマンドインジェクションの脆弱性
KubeAIはKubernetes向けのAI推論オペレーターです。0.23.2より前のバージョンでは、internal/modelcontroller/engine_ollama.go内のollamaStartupProbeScript()……
- 2026-04-16
Salesforce.com, inc.のWorkbenchにおけるクロスサイトスクリプティングの脆弱性
Workbenchは、管理者および開発者がForce.com APIを通じてSalesforce.com組織とやり取りするためのツール群です。バージョン65.0.0以前のWorkbenchには、footerScriptsパラメータを介した反……
- 2026-04-16
Linux FoundationのKedroにおけるパストラバーサルの脆弱性
Kedroは本番環境対応のデータサイエンス用ツールボックスです。バージョン1.3.0以前のkedro/io/core.pyの_get_versioned_path()メソッドでは、ユーザーが提供したバージョン文字列をサニタイズせずに直接ファ……
- 2026-04-16
Linux FoundationのKedroにおける複数の脆弱性
Kedroは、本番環境向けのデータサイエンスツールボックスです。バージョン1.3.0以前では、KEDRO_LOGGING_CONFIG環境変数を通じてログ設定ファイルのパスを設定でき、その際に検証を行わずに読み込んでいました。ログ設定スキー……
- 2026-04-16
Chyrp Liteにおける複数の脆弱性
Chyrp Liteは超軽量のブログエンジンです。2026年1月以前のバージョンには、PostモデルにIDORおよびマスアサインメントの問題が存在していました。そのため、投稿編集権限(投稿編集、下書き編集、自分の投稿編集、自分の下書き編集)……
- 2026-04-16
Chyrp Liteにおける複数の脆弱性
Chyrp Liteは超軽量のブログエンジンです。2026年1月以前のバージョンには、管理コンソールにディレクトリトラバーサルの脆弱性が存在し、管理者または設定変更権限を持つユーザーがアップロードパスを任意のフォルダに変更できる問題がありま……
- 2026-04-16
Amazon.com, Inc.のAmazon Athena ODBCにおけるコマンドインジェクションの脆弱性
Amazon Athena ODBCドライバーのバージョン2.1.0.0より前の認証コンポーネントにおける特殊要素の不適切な無害化により、悪意のある攻撃者がユーザーが開始した認証時にドライバーが処理する特別に細工された接続パラメータを使用し……