CVE Vulnerability Database

Devolutions ServerのMicrosoft Entra ID（Azure AD）認証モードに認証バイパスの脆弱性（CVE-2026-3224）が報告されました。本脆弱性を悪用されると、認証されていない攻撃者が偽造されたJSON Web Token（JWT）を使用し、任意のEntra IDユーザーとして認証される可能性があります。対象バージョンは2025.3.15.0以前です。

WordPressプラグイン「Taskbuilder」のバージョン5.0.3以前に、管理者設定を介した保存型クロスサイトスクリプティング（XSS）の脆弱性（CVE-2026-2289）が報告されました。この脆弱性は、入力値の不適切なサニタイズと出力のエスケープ不足に起因し、管理者権限を持つ認証済み攻撃者によって悪用される可能性があります。主にマルチサイト環境や`unfiltered_html`が無効な環境が影響を受けます。

WordPressプラグイン「WPBookit」のバージョン1.0.8以前に、認証不備の脆弱性が報告されています。この脆弱性を悪用されると、未認証の攻撃者によって顧客の氏名、メールアドレス、電話番号、生年月日、性別などの機密情報が不正に取得される可能性があります。

WordPressプラグイン「Morkva UA Shipping」のバージョン1.7.9以前に、管理者設定を介した保存型クロスサイトスクリプティング（XSS）の脆弱性（CVE-2026-2292）が報告されました。この脆弱性は、入力値の不適切なサニタイズと出力のエスケープ不足に起因し、管理者権限を持つ認証済み攻撃者によって任意のウェブスクリプトが注入される可能性があります。特にマルチサイト環境や`unfiltered_html`が無効な環境が影響を受けるとされています。

WordPressプラグイン「Post Grid Gutenberg Blocks for News, Magazines, Blog Websites – PostX」のバージョン5.0.8以前に、サーバーサイドリクエストフォージェリ（SSRF）の脆弱性（CVE-2026-1273）が報告されました。管理者権限を持つ認証済み攻撃者により、内部サービスへの不正なリクエストが実行され、情報照会や改ざんが行われる可能性があります。速やかな情報収集と対策が推奨されます。

WordPressプラグイン「Email Subscribers by Icegram Express」に、SQLインジェクションの脆弱性（CVE-2026-1651）が報告されました。バージョン5.9.16までの全バージョンが影響を受け、管理者権限を持つ認証済み攻撃者によって、データベースから機密情報が抽出される可能性があります。速やかな情報収集と対策の検討が推奨されます。

GLPI Inventory Pluginのタスクジョブ機能に反射型クロスサイトスクリプティング（XSS）の脆弱性（CVE-2026-25590）が報告されました。この脆弱性は、バージョン1.6.6より前のGLPI Inventory Pluginに影響し、悪用されると、攻撃者が細工したスクリプトをユーザーのブラウザ上で実行させる可能性があります。開発元は既に修正版のバージョン1.6.6をリリースしており、速やかなアップデートが推奨されます。

AliasVault Webクライアントのメールレンダリング機能に、格納型クロスサイトスクリプティング（XSS）の脆弱性（CVE-2026-26266）が報告されています。バージョン0.25.3以前が影響を受け、細工されたメールを表示すると、悪意のあるスクリプトがアプリケーションと同じオリジンで実行される可能性があります。この脆弱性はバージョン0.26.0で修正済みです。

Froxlorのバージョン2.3.4未満において、入力検証の不備により、認証済みの管理者ユーザーがroot権限で任意のコマンドを実行できる脆弱性が報告されています。この脆弱性は、メールアドレス形式の入力フィールドの検証ロジックの誤りを利用し、OSコマンドインジェクションを可能にするものです。