CVE Vulnerability Database

WordPressプラグイン「3D viewer – Embed 3D Models」に認証不備の脆弱性（CVE-2026-40729）が報告されました。この脆弱性は、アクセス制御設定の不備を悪用し、許可されていない操作が可能になる可能性があります。影響を受けるのはバージョン1.8.5以前のプラグインです。ユーザーは速やかにプラグインの更新状況を確認し、適切な対策を講じることが推奨されます。

Sourcecodester Online Reviewer System v1.0にSQLインジェクションの脆弱性（CVE-2026-36919）が報告されました。この脆弱性は、`/system/system/admins/assessments/examproper/exam-update.php`ファイルに存在し、悪用されるとデータベースへの不正アクセスや情報漏洩につながる可能性があります。

Linuxカーネルのnetfilterモジュール、特にSIPコネクショントラッキング機能（nf_conntrack_sip）において、SDPメッセージ処理時に未初期化変数が使用される脆弱性が報告されました。これにより、SDPセッション情報が意図しないIPアドレスに書き換えられ、通信に影響を及ぼす可能性があります。速やかなカーネルのアップデートが推奨されます。

Sourcecodester Online Reviewer System v1.0にSQLインジェクションの脆弱性（CVE-2026-36920）が報告されました。この脆弱性は、特定のファイル内で発生し、悪用されるとデータベースへの不正アクセスや情報漏洩につながる可能性があります。現時点ではCVSSスコアや詳細な悪用状況は不明ですが、対象システムを利用している場合は注意が必要です。

WordPressプラグイン「Optimole – Optimize Images in Real Time」のバージョン4.2.3以前に、反射型クロスサイトスクリプティング（XSS）の脆弱性（CVE-2026-5226）が報告されています。この脆弱性は、URLパスの不適切なエスケープ処理に起因し、認証されていない攻撃者が細工されたリンクを介して任意のウェブスクリプトを注入し、ユーザーのブラウザ上で実行させる可能性があります。影響を受けるサイト運営者は速やかなアップデートが推奨されます。

NoMachineのDevice Serverに、ローカルの権限昇格につながる脆弱性(CVE-2026-5055)が報告されています。この脆弱性が悪用されると、攻撃者は低権限のコード実行能力を既に持っている場合に、SYSTEM権限で任意のコードを実行する可能性があります。

Adobe Acrobat Readerの特定のバージョンに、プロトタイプ汚染（Prototype Pollution）の脆弱性「CVE-2026-34621」が確認されました。この脆弱性は、ユーザーが悪意のあるファイルを開くことで、任意のコード実行につながる可能性があり、深刻度は「CRITICAL」と評価されています。速やかなアップデートが推奨されます。

HerikLyma CPPWebFrameworkのバージョン3.1以前において、パストラバーサル脆弱性（CVE-2026-5638）が報告されました。この脆弱性が悪用されると、リモートからの攻撃により、システム上のファイルに不正にアクセスされる可能性があります。本脆弱性に対するエクスプロイトコードは既に公開されており、開発元は現時点で未対応のため、対象製品をご利用の企業は早急な情報収集と対策の検討が推奨されます。

itsourcecode Construction Management System バージョン1.0において、SQLインジェクションの脆弱性（CVE-2026-5660）が報告されました。この脆弱性は、`/borrowed_equip.php`ファイル内のパラメータ`emp`の処理に起因し、リモートからの攻撃によりデータベースへの不正アクセスや情報漏洩につながる可能性があります。既に攻撃コードが公開されているため、早急な対応が推奨されます。