- 2026-04-13
KalerisのYard Management Solutions (YMS)における複数の脆弱性
Kaleris YMS v7.2.2.1における不適切なアクセス制御により、配送および受取の役割のみを持つ認証済みの攻撃者がトラックのダッシュボードリソースを閲覧できるようになります。
NVNB40th page
- 2026-04-13
KalerisのYard Management Solutions (YMS)における代替パスまたはチャネルを使用した認証回避に関する脆弱性
Kaleris YMS v7.2.2.1のログイン機構に問題があり、攻撃者がログイン認証を回避してアプリケーションのリソースにアクセスできる可能性があります。
- 2026-04-13
GlobaLeaksにおける入力確認に関する脆弱性
GlobaLeaksは無料でオープンソースの内部告発ソフトウェアです。バージョン5.0.89以前では、GlobaLeaksの/api/supportエンドポイントがユーザーから送信されたサポートリクエストに対して最小限の検証しか行いませんで……
- 2026-04-13
icalendar ProjectのicalendarにおけるCRLF インジェクションの脆弱性
iCalendarはRFC-5545で定義されたiCalendar形式のファイルを扱うRubyライブラリであり、バージョン2.0.0から2.12.2未満には.icsファイルのURIプロパティ値が適切にサニタイズされない問題があります。この問……
- 2026-04-13
Faris AL-Otaibi (farisc0de)のUploadyにおけるクロスサイトスクリプティングの脆弱性
Ulloadyはマルチファイルアップロードに対応したファイルアップローダースクリプトです。ファイルアップロード処理中のファイル名の不適切なサニタイズにより、バージョン3.1.2未満にストアドクロスサイトスクリプティング(XSS)脆弱性が存在……
- 2026-04-13
UltravioletのCocos AIにおける複数の脆弱性
Cocos AIはAI向けの機密計算システムです。CoCoSで実装されている現在のattested TLS(aTLS)は、v0.4.0からv0.8.2までのすべてのバージョンに影響を与えるリレー攻撃に対して脆弱です。この脆弱性は、CoCoS……
- 2026-04-13
OpenHandsにおけるOS コマンドインジェクションの脆弱性
OpenHandsはAI駆動の開発用ソフトウェアです。バージョン1.5.0以降、`openhands/runtime/utils/git_handler.py`の134行目にある`get_git_diff()`メソッドにコマンドインジェクシ……
- 2026-04-13
APTRS (Automated Penetration Testing Reporting System)における動的に決定されたオブジェクト属性の不適切に制御された変更に関する脆弱性
APTRS(自動化ペネトレーションテスト報告システム)は、ペネトレーションテスターやセキュリティ組織向けに設計されたPythonおよびDjangoベースの自動報告ツールです。バージョン2.0.1以前では、edit_userエンドポイント(P……
- 2026-04-13
Razvan Zamfir (Ajax30)のBrave CMSにおける危険なタイプのファイルの無制限アップロードに関する脆弱性
Brave CMSはオープンソースのCMSです。バージョン2.0.6より前のバージョンには、CKEditorのエンドポイントに未制限のファイルアップロードの脆弱性が存在し、攻撃者が任意のファイル(実行可能スクリプトを含む)をアップロードでき……
- 2026-04-13
Shynetにおけるクロスサイトスクリプティングの脆弱性
Shynet 0.14.0より前のバージョンには、urldisplayおよびiconifyテンプレートフィルターにXSSの脆弱性が存在します。