Stay ahead of security threats with real-time vulnerability insights.
Empowering your security operations with actionable intelligence.
WordPressプラグイン「WP Frontend Profile」のバージョン1.3.8以前に、クロスサイトリクエストフォージェリ(CSRF)の脆弱性(CVE-2026-1644)が報告されています。この脆弱性は、`update_action`関数におけるnonce検証の欠如に起因し、認証されていない攻撃者が管理者をだまして悪意のあるリンクをクリックさせることで、ユーザーアカウントの登録承認または拒否を不正に行う可能性があります。影響を受けるシステムをご利用のIT担当者様は、速やかに対応を検討してください。
Go言語の`html/template`パッケージに、HTMLの`meta`タグの`content`属性にURLを挿入する際のエスケープ処理に不備がある脆弱性(CVE-2026-27142)が報告されました。この脆弱性が悪用されると、`http-equiv="refresh"`属性を持つ`meta`タグと組み合わせることで、クロスサイトスクリプティング(XSS)攻撃につながる可能性があります。GoアプリケーションのIT担当者は、推奨される対策を速やかに実施することが求められます。
XikeStor SKS8310-8X ネットワークスイッチのファームウェアに、認証された攻撃者がシステム名フィールドを通じて悪意のあるスクリプトを注入できる保存型クロスサイトスクリプティング(XSS)の脆弱性が報告されました。この脆弱性が悪用されると、管理画面などを閲覧したユーザーのブラウザ上でスクリプトが実行される可能性があります。影響度は「MEDIUM」と評価されています。
WordPressプラグイン「ZIP Code Based Content Protection」のバージョン1.0.2以前に、認証されていない攻撃者によるSQLインジェクションの脆弱性(CVE-2025-14353)が報告されました。この脆弱性が悪用されると、データベースから機密情報が窃取される可能性があります。対象プラグインをご利用の場合は、早急な対策が推奨されます。
WordPressプラグイン「Easy PHP Settings」に、管理者権限を持つ攻撃者が任意のPHPコードを実行できるPHPコードインジェクションの脆弱性(CVE-2026-3352)が報告されています。この脆弱性が悪用されると、ウェブサイトの改ざんやサーバーの乗っ取りなど、深刻な被害につながる可能性があります。対象プラグインの利用者は、速やかな対策が推奨されます。
WordPressプラグイン「Greenshift」に、認証されていないユーザーが非公開の再利用可能ブロックの内容を閲覧できる不適切なオブジェクト参照(IDOR)の脆弱性(CVE-2026-2371)が報告されています。バージョン12.8.3以前が影響を受け、機密情報が漏洩する可能性があります。
Group-Officeのインストーラー(install/license.php)に、反射型クロスサイトスクリプティング(XSS)の脆弱性が報告されています。特定のPOSTフィールドが適切にエスケープされずにレンダリングされるため、悪意のあるスクリプトが実行される可能性があります。この脆弱性は、バージョン6.8.155、25.0.88、26.0.10で修正済みです。
エンタープライズ向けCRMおよびグループウェアツールであるGroup-Officeの特定のバージョンに、リフレクテッドXSS(クロスサイトスクリプティング)の脆弱性(CVE-2026-30238)が報告されました。この脆弱性が悪用されると、攻撃者が細工したURLを介して、ユーザーのブラウザ上で任意のJavaScriptコードが実行される可能性があります。対象製品をご利用の場合は、速やかに修正済みバージョンへのアップデートを強く推奨します。
Mercuriusの特定のバージョンにおいて、WebSocket経由のGraphQLサブスクリプションクエリに対する深度制限が適切に適用されず、サービス拒否攻撃につながる可能性がある脆弱性が報告されています。対象システムでは速やかな対策が推奨されます。