CVE Vulnerability Database

OneUptimeのGitHub App連携機能にアクセス制御の不備が報告されています。この脆弱性により、攻撃者がGitHub Appのインストール情報を不正に上書きし、他のプロジェクトのリポジトリ情報を列挙したり、不正なリポジトリレコードを作成したりする可能性があります。バージョン10.0.19で修正済みです。

OneUptimeのSynthetic Monitor機能に、低権限ユーザーがリモートコードを実行できる脆弱性(CVE-2026-30921)が報告されました。Playwrightのブラウザオブジェクトが不適切に公開されており、サンドボックスを回避して任意のコマンド実行が可能となる可能性があります。バージョン10.0.20で修正済みです。

SAP GUI for Windowsに、GuiXTが有効な環境でDLLハイジャックの脆弱性（CVE-2026-24317）が存在することが報告されました。この脆弱性は、悪意のあるDLLファイルを特定のディレクトリに配置させることで、攻撃者が任意のコードを実行する可能性があります。機密性、完全性、可用性への影響は低いと評価されていますが、適切な対策が推奨されます。

SAP NetWeaverのFeedback Notifications ServiceにSQLインジェクションの脆弱性(CVE-2026-27684)が報告されました。認証された攻撃者がユーザー入力フィールドを通じて任意のSQLコードを挿入し、データベース情報の不正な閲覧や改ざんを行う可能性があります。本脆弱性は機密性と可用性に低い影響を与えるものの、全体的な深刻度は中程度と評価されています。

IBM Planning Analytics Advanced Certified Containersのバージョン3.1.0から3.1.4に、ローカルの特権ユーザーが環境変数から機密情報を取得する可能性のある脆弱性（CVE-2025-36105）が報告されました。この脆弱性は、システムへのアクセス権を持つ攻撃者により機密データ漏えいにつながる恐れがあります。影響を受けるお客様は、ベンダー情報を確認し対策を講じることが推奨されます。

facileManagerのfmDNSモジュールにおいて、バージョン6.0.4より前のバージョンに反射型クロスサイトスクリプティング（XSS）の脆弱性が報告されています。特定のURLパラメータに悪意のあるJavaScriptコードを注入されることで、ユーザーのブラウザ上で不正なスクリプトが実行される可能性があります。この脆弱性は、システム管理者向けのウェブアプリケーションスイートであるfacileManagerに影響を与えます。

Parse ServerのLiveQuery機能に、正規表現サービス拒否（ReDoS）の脆弱性（CVE-2026-30925）が報告されました。悪意のあるクライアントが細工された正規表現パターンを含むLiveQueryをサブスクライブすると、Node.jsのイベントループがブロックされ、Parse Server全体が応答不能になる可能性があります。LiveQueryが有効な環境が影響を受け、バージョン9.5.0-alpha.14および8.6.11で修正済みです。

Admidioのイベント参加登録機能において、不適切なアクセス制御の脆弱性（IDOR）が報告されました。この脆弱性を悪用されると、イベント参加権限を持つ一般ユーザーが、他のユーザーのイベント参加登録やキャンセルを不正に行う可能性があります。バージョン5.0.6で修正されています。

SAP NetWeaver Application Server for ABAPに認証不備の脆弱性（CVE-2026-24310）が報告されました。認証された攻撃者が特定のABAPファンクションモジュールを実行することで、データベースカタログから機密情報を読み取れる可能性があります。機密性への影響は低いと評価されていますが、企業は適切な対策を講じる必要があります。