- 2026-04-17
DrizzleにおけるSQL インジェクションの脆弱性
Drizzleは最新のTypeScript ORMです。バージョン0.45.2および1.0.0-beta.20以前のDrizzle ORMでは、方言固有のescapeName()実装が引用されたSQL識別子を不適切にエスケープしていました。……
NVNB85th page
- 2026-04-17
vitejsのVite+等の複数製品における複数の脆弱性
ViteはJavaScriptのためのフロントエンドツールフレームワークです。バージョン6.0.0から6.4.2未満、7.3.2未満、および8.0.5未満の間で、OriginヘッダーなしでVite開発サーバーのWebSocketに接続できる……
- 2026-04-17
vitejsのVite+等の複数製品における複数の脆弱性
ViteはJavaScriptのフロントエンド開発用ツールフレームワークです。バージョン7.1.0から7.3.2未満および8.0.5にかけて、Viteの開発サーバーでは、server.fs.denyでブロックされるべきファイル(例: .en……
- 2026-04-17
vitejsのVite+等の複数製品におけるパストラバーサルの脆弱性
ViteはJavaScript向けのフロントエンドツールフレームワークです。バージョン6.0.0から6.4.2、7.3.2、および8.0.5の前まで、devサーバーの最適化された依存関係の.mapリクエストの処理において、ファイルパスの解決……
- 2026-04-17
Delmare DigitalのPayload-puckにおける認証の欠如に関する脆弱性
@delmaredigital/payload-puck は、Puck ビジュアルページビルダーを統合するための PayloadCMS プラグインです。0.6.23 より前のバージョンでは、createPuckPlugin() によって登録……
- 2026-04-17
Cronicleにおけるクロスサイトスクリプティングの脆弱性
Cronicleは複数のサーバーに対応したタスクスケジューラーおよびランナーであり、ウェブベースのフロントエンドUIを備えています。バージョン0.9.111より前のバージョンでは、create_eventsおよびrun_eventsの権限を……
- 2026-04-17
Cronicleにおける認証の欠如に関する脆弱性
Cronicleは、複数サーバーに対応したタスクスケジューラー兼ランナーであり、ウェブベースのフロントエンドUIを備えています。バージョン0.9.111より前のバージョンでは、jbの子プロセスがJSON出力にupdate_eventキーを含……
- 2026-04-17
Development of Kubernetes-like Control Planesのkcpにおける複数の脆弱性
kcpは、Kubernetesやコンテナワークロードを超えたフォームファクターやユースケース向けのKubernetes類似のコントロールプレーンです。0.30.3および0.29.3以前のバージョンでは、キャッシュサーバーがルートシャードによ……
- 2026-04-17
Emmettにおけるパストラバーサルの脆弱性
Emmettはシンプルさを追求したフルスタックのPythonウェブフレームワークです。バージョン2.5.0から2.8.1未満の間、Emmettの内部アセット(/__emmett__パス)に対するRSGI静的ハンドラーがパストラバーサル攻撃に……
- 2026-04-17
Nix/Nixpkgs/NixOSのNixにおけるUNIX Symbolic Link のフォローに関する脆弱性
NixはLinuxやその他のUnixシステム向けのパッケージマネージャーです。修正中のバグにより、固定出力導出出力の登録時にシンボリックリンクをたどることで、ビルドをオーケストレーションするNixプロセスが書き込み可能なファイルを任意に上書……