CVE Vulnerability Database

UPS Multi-UPS Management Console (MUMC) の特定のバージョンに、不適切なデフォルトパーミッションの脆弱性が報告されました。この脆弱性を悪用されると、攻撃者は特別に細工されたDLLをアプリケーションに読み込ませることで、SYSTEM権限で任意のコードを実行する可能性があります。影響を受けるシステムをご利用のIT担当者は、速やかに詳細を確認し、適切な対策を講じることが推奨されます。

IDC SFX2100衛星受信機において、`monitor`ユーザーのホームディレクトリに不適切なファイルシステムパーミッション（0777）が設定されている脆弱性「CVE-2026-29127」が報告されました。これにより、システム上の全ローカルユーザーが当該ディレクトリへの読み取り、書き込み、実行アクセスを持つため、特権プロセスやバイナリが存在する場合、ローカルでの権限昇格につながる可能性があります。深刻度は「CRITICAL」と評価されています。

Pingora HTTPプロキシフレームワークのデフォルトキャッシュキー実装にキャッシュポイズニングの脆弱性（CVE-2026-2836）が発見されました。URIパスのみでキャッシュキーを生成するため、ホストヘッダーなどの重要な要素が考慮されず、攻撃者によるキャッシュ汚染やテナント間のデータ漏洩につながる可能性があります。Pingora v0.8.0以降へのアップグレードが強く推奨されます。

Perlモジュール「Apache::Session::Generate::MD5」のバージョン1.94以前に、セッションIDの生成方法に関する脆弱性が報告されています。この脆弱性により、セッションIDが予測可能となり、攻撃者がセッションを乗っ取り、システムに不正アクセスする可能性があります。対象モジュールを使用している場合は、速やかなアップデートが推奨されます。

International Data Casting (IDC) SFX2100衛星受信機に搭載されている`/bin/date`ユーティリティにSETUIDビットが設定されている脆弱性（CVE-2026-29122）が報告されました。これにより、ローカルユーザーが特権昇格を行い、ルート権限で機密ファイルを読み取れる可能性があります。

WebアプリケーションフレームワークHonoにおいて、バージョン4.12.4より前の環境でserveStatic機能とルートベースのミドルウェア保護を併用している場合、URLデコード処理の不一致により、保護された静的リソースが認証なしでアクセスされる脆弱性（CVE-2026-29045）が報告されました。この問題は、エンコードされたスラッシュ（）を含むパスがミドルウェア保護を迂回することを可能にします。本脆弱性はバージョン4.12.4で修正されています。

WebアプリケーションフレームワークHonoのStreaming Helper機能において、SSE（Server-Sent Events）の`event`、`id`、`retry`フィールドに対する入力検証が不十分な脆弱性が報告されました。改行文字（CR/LF）が適切に処理されないため、信頼できない入力がこれらのフィールドに渡された場合、追加のSSEフィールドが挿入される可能性があります。本脆弱性はバージョン4.12.4で修正済みです。

CPythonのレガシーな.pycファイルを扱うインポートフック「SourcelessFileLoader」が、基底クラス「FileLoader」で不適切に処理されるため、`io.open_code()`を使用しません。これにより、関連する`sys.audit`ハンドラが発火せず、特定の監査イベントが記録されない可能性があります。

WordPress用プラグイン「Fluent Forms Pro」のバージョン6.1.17以前に、保存型クロスサイトスクリプティング（XSS）の脆弱性が報告されました。未認証の攻撃者が悪意のあるスクリプトを注入し、管理者が部分的なフォームエントリを閲覧した際に実行される可能性があります。早急なアップデートが推奨されます。