CVE Vulnerability Database

ホームインベントリシステムHomeBoxの通知機能に、認証済みユーザーが任意のURLへHTTP POSTリクエストを送信できるSSRFの脆弱性（CVE-2026-27600）が報告されました。この脆弱性を悪用されると、内部ネットワークのサービス列挙が行われる可能性があります。バージョン0.24.0-rc.1で修正されています。

JavaScriptユーティリティライブラリUnderscore.jsの特定の関数に、深さ制限のない再帰処理が存在する脆弱性（CVE-2026-27601）が報告されています。この脆弱性が悪用されると、スタックオーバーフローを引き起こし、サービス拒否（DoS）攻撃を受ける可能性があります。バージョン1.13.8未満のUnderscore.jsを使用しているシステムは影響を受ける可能性があります。

JavaScriptフレームワークQwikのバージョン1.19.0以前に、認証不要でリモートコード実行（RCE）を可能にする深刻な脆弱性(CVE-2026-27971)が報告されました。`server$` RPCメカニズムにおける安全でないデシリアライゼーションが原因で、攻撃者は単一のHTTPリクエストで任意のコードを実行できる可能性があります。速やかなバージョンアップが推奨されます。

HomeBoxの認証レートリミッターに、IPアドレス偽装によってレート制限を回避できる脆弱性（CVE-2026-27981）が報告されました。この脆弱性を悪用されると、ブルートフォース攻撃などの試行回数制限が無効化される可能性があります。バージョン0.24.0で修正されています。

FreeScout 1.8.206およびそれ以前のバージョンに、認証されたユーザーがリモートコード実行（RCE）を可能にする脆弱性が報告されました。これは、CVE-2026-27636のパッチをゼロ幅スペース文字でバイパスし、悪意のある.htaccessファイルをアップロードすることで発生します。ファイル名サニタイズ機能のTOCTOU欠陥が原因とされており、バージョン1.8.207で修正済みです。

CVE-2026-3076は、Apache Web Serverの認証バイパス脆弱性として公開されましたが、後にCVE-2026-2363の重複として「REJECT」されました。このCVE番号は使用せず、代わりにCVE-2026-2363を参照するよう注意が促されています。本記事では、このCVE番号の現状と、IT担当者が取るべき対応について解説します。

OpenText™ Filrに不適切なアクセス制御に起因する認証バイパスの脆弱性（CVE-2026-3266）が発見されました。この脆弱性は、認証されていない攻撃者がXSRFトークンを取得し、細工されたプログラムを用いてRPCを実行する可能性を指摘しています。影響を受けるのはFilrのバージョン25.1.2までとされており、早急な対策が推奨されます。

WordPressプラグイン「WPBookit」のバージョン1.0.8以前に、保存型クロスサイトスクリプティング（XSS）の脆弱性（CVE-2026-1945）が報告されました。認証されていない攻撃者が特定のパラメータを介して悪意のあるスクリプトを注入し、サイト訪問者のブラウザ上で実行させる可能性があります。

Devolutions Serverの特定バージョンに、リモートからのURLスプーフィングを可能にする脆弱性（CVE-2026-3204）が報告されました。エラーメッセージページにおける入力検証の不備が原因で、細工されたURLを介して表示されるエラーメッセージが偽装される可能性があります。この脆弱性により、ユーザーが誤った情報を信じ込むリスクが考えられます。