- 2026-06-08
radareのRadare2 MCP ServerにおけるOS コマンドインジェクションの脆弱性
radare2-mcp バージョン 1.6.0 以前には OS コマンドインジェクションの脆弱性が存在していました。リモートの攻撃者は r2_cmd_str() に渡されるユーザー制御入力内のシェルメタキャラクターを利用してコマンドフィルタ……
NVNB26th page
- 2026-06-08
Securly, Inc.のSecurlyにおけるハードコードされた認証情報の使用に関する脆弱性
Securly Chrome拡張機能のバージョン3.0.7には、securly.min.js内にハードコードされたプレーンテキストのAESパスフレーズが含まれています。これらのキーは、危機アラートのキーワードデータおよび介入サイトのデータを……
- 2026-06-08
Securly, Inc.のSecurlyにおける暗号強度に関する脆弱性
Securly Chrome 拡張機能のバージョン 3.0.7 は、複数の公にアクセス可能なエンドポイントを公開しており、認証されていない状態で機密データにアクセスできる状態です。公開されている情報は、単純なシーザー暗号で不十分に難読化され……
- 2026-06-08
Securly, Inc.のSecurlyにおける信頼できない制御領域からの機能の組み込みに関する脆弱性
Securly Chrome拡張機能のバージョン3.0.7は、content13.min.jsをコンテンツスクリプトとしてchrome.scripting.registerContentScripts()を介して動的に登録します。このスクリ……
- 2026-06-08
Amazon.com, Inc.のKiro CLIにおける認証の欠如に関する脆弱性
Kiro CLI 1.28.0未満のバージョンには、ツール認証プロンプトの入力ソース検証が欠如しているため、ローカルの攻撃者がstdin経由でkiro-cliにパイプされる内容を細工し、ユーザーの承認なしにシェルコマンドを含む任意のツールを……
- 2026-06-08
Flowintelにおけるサーバサイドのリクエストフォージェリの脆弱性
FlowIntel バージョン 3.3.0 までの app/case/task.py にある外部参照URLプローブ機能には、サーバー側リクエスト偽造(SSRF)脆弱性が存在します。攻撃者は外部参照URLを送信することで、アプリケーションサー……
- 2026-06-08
huggingfaceのtransformersにおける複数の脆弱性
HuggingFace transformersライブラリのバージョン5.3.0未満のすべてのバージョンには、重大なリモートコード実行の脆弱性が存在します。この脆弱性により、攻撃者は悪意のある`config.json`ファイルを作成し、その……
- 2026-06-08
Avatar Uploader projectのAvatar Uploaderにおけるクロスサイトスクリプティングの脆弱性
Drupal avatar_uploader 7.x-1.0-beta8 には、認証されていない攻撃者が file パラメータを操作することで悪意のあるスクリプトを注入できるリフレクト型クロスサイトスクリプティングの脆弱性があります。攻撃者……
- 2026-06-05
deltasql Projectのdeltasqlにおける重要な機能に対する認証の欠如に関する脆弱性
Delta Sql 1.8.2には、認証されていない攻撃者が細工されたマルチパートフォームデータを使用してdocs_upload.phpにPOSTリクエストを送信することで、悪意のあるファイルをアップロードできる任意ファイルアップロードの脆……