CVE Vulnerability Database

Honoフレームワークの`setCookie()`ユーティリティにおいて、バージョン4.12.4より前のバージョンで、`Set-Cookie`ヘッダー生成時の`domain`および`path`オプションに対する入力検証が不十分であった脆弱性（CVE-2026-29086）が報告されました。これにより、信頼できない入力がこれらのフィールドに渡された場合、追加のCookie属性が挿入される可能性があります。本脆弱性はバージョン4.12.4で修正済みです。

WordPressプラグイン「OoohBoi Steroids for Elementor」に、認証された攻撃者によって任意のウェブスクリプトが挿入される可能性のある格納型クロスサイトスクリプティング（XSS）の脆弱性（CVE-2026-3034）が報告されました。この脆弱性は、バージョン2.1.24以前の全てのバージョンに影響し、寄稿者以上の権限を持つ攻撃者が悪用する可能性があります。

International Data Casting (IDC) SFX2100 (Linux版) にて、特定のSUID rootバイナリに起因するローカル権限昇格の脆弱性「CVE-2026-29123」が報告されました。攻撃者はPATHハイジャックなどを通じて、ローカルユーザーからroot権限を取得する可能性があります。

International Data Casting (IDC) SFX2100衛星受信機において、`monitor`ユーザーのホームディレクトリ内に複数のSUID rootバイナリが存在する脆弱性（CVE-2026-29124）が報告されました。これにより、ローカルの`monitor`ユーザーからroot権限への昇格が発生する可能性があります。本脆弱性の深刻度は「HIGH」と評価されています。

IDC SFX2100衛星受信機において、システムファイル`/etc/resolv.conf`が誰でも書き込み可能な状態になっている脆弱性（CVE-2026-29125）が報告されました。これにより、ローカルユーザーがDNS設定を改ざんし、ネットワーク通信の不正なリダイレクト、中間者攻撃、サービス妨害を引き起こす可能性があります。影響は大きく、早急な確認と対策が推奨されます。

International Data Casting (IDC) SFX2100衛星受信機において、`/sbin/ip`ユーティリティにSETUIDビットが設定されている脆弱性が報告されました。これにより、ローカルユーザーがroot権限でファイル読み取りなどの特権操作を実行し、権限昇格につながる可能性があります。影響を受けるシステムをご利用のIT担当者は、速やかな確認と対策が推奨されます。

WordPressプラグイン「Fluent Forms Pro Add On Pack」に、認証されていないユーザーがメディアファイルを削除できる認証不備の脆弱性（CVE-2026-2899）が報告されました。この問題は、特定のメソッドが適切な認証チェックを欠いていることに起因します。影響を受けるシステムでは、重要なファイルが意図せず削除されるリスクがあるため、速やかな対応が求められます。

PerlのPlack::Middleware::Session::Simpleモジュール（バージョン0.04まで）に、セッションIDが予測可能な方法で生成される脆弱性が報告されています。これにより、攻撃者がセッションIDを推測し、システムへの不正アクセスが可能になる可能性があります。対象モジュールを使用しているPerlアプリケーション開発者は、速やかな対策が推奨されます。

itsourcecode College Management System 1.0に、リモートから悪用可能なSQLインジェクションの脆弱性（CVE-2026-3487）が報告されました。本脆弱性は、/admin/class-result.phpファイル内の`course_code`引数を操作することで発生し、攻撃コードが既に公開されているとされています。深刻度は中程度（MEDIUM）と評価されており、対象システムをご利用の組織は速やかな確認と対策が推奨されます。