- 2026-04-23
Maurice (mauriceboe)のtrekにおける重要な機能に対する認証の欠如に関する脆弱性
TREKは共同旅行プランナーです。バージョン2.7.2以前のTREKでは、認証を必要とせずにアップロードされた写真を提供していました。この脆弱性はバージョン2.7.2で修正されました。
NVNB5th page
- 2026-04-23
Maurice (mauriceboe)のtrekにおける認証の欠如に関する脆弱性
TREKは共同旅行プランナーです。バージョン2.7.2以前のTREKには、Immichの旅行写真管理ルートに対して認可チェックが欠如している脆弱性が存在していました。この脆弱性はバージョン2.7.2で修正されました。
- 2026-04-23
Stig (stigtsp)のNet::CIDR::Liteにおける入力の構文的正当性の検証に関する脆弱性
Perl用Net::CIDR::Liteのバージョン0.23未満には、IPv6のグループ数を検証しないため、IP ACLのバイパスを許す可能性がある脆弱性があります。_pack_ipv6()関数は、圧縮されていないIPv6アドレス(::なし……
- 2026-04-23
Stig (stigtsp)のNet::CIDR::Liteにおけるレングスパラメーターの不整合による処理に関する脆弱性
Perl用のNet::CIDR::Liteバージョン0.23未満では、IPv4マップドIPv6アドレスの処理に誤りがあり、これによりIP ACLをバイパスできる場合があります。_pack_ipv6()は、::ffff:192.168.1.1……
- 2026-04-23
GetarcaneのArcaneにおけるサーバサイドのリクエストフォージェリの脆弱性
ArcaneはDockerコンテナ、イメージ、ネットワーク、およびボリュームを管理するためのインターフェースです。バージョン1.17.3以前では、/api/templates/fetchエンドポイントが呼び出し元から提供されたurlパラメー……
- 2026-04-23
runZeroのrunZero PlatformにおけるSQL インジェクションの脆弱性
保存されたクエリに関連するSQLインジェクション攻撃ベクターを許容する問題が存在します(バージョン4.0.260123.0で導入されました)。これはCWE-89に該当し、SQLコマンドで使用される特殊要素の不適切な無害化(SQLインジェクシ……
- 2026-04-23
runZeroのrunZero Platformにおける権限管理に関する脆弱性
すべての組織管理者がアカウントをスーパーユーザーの権限に昇格させることが可能であった問題を修正しました。これはCWE-269: 不適切な権限管理の一例であり、推定CVSSスコアはCVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:……
- 2026-04-23
runZeroのrunZero Platformにおける不正な認証に関する脆弱性
承認された組織の範囲外からMCPエージェントが修復および資産情報にアクセスできてしまう問題が解決されました。これはCWE-863: 不正な認可の一例であり、推定CVSSスコアはCVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C……
- 2026-04-23
runZeroのrunZero Platformにおける情報漏えいに関する脆弱性
資格情報にアクセス権を持つユーザーがAPIレスポンスを通じて機密フィールドを閲覧できる問題が解決されました。これはCWE-200、不正な権限を持つ者への機密情報の露出の一例であり、推定CVSSスコアはCVSS:3.1/AV:N/AC:L/P……
- 2026-04-23
runZeroのrunZero Platformにおけるセッション期限に関する脆弱性
自動ページリロードによりセッションの非アクティブタイムアウトが発動しない問題が解決されました。この問題はCWE-613:期限切れまたは解放後のリソースの不十分な管理に該当し、推定CVSSスコアはCVSS:3.1/AV:N/AC:H/PR:H……