CVE Vulnerability Database

Concrete CMSのExpress Entry Listブロックに、認証された管理者によるPHPオブジェクトインジェクションの脆弱性が報告されています。この脆弱性を悪用されると、リモートコード実行（RCE）につながる可能性があります。影響を受けるのはバージョン9.4.8未満のConcrete CMSであり、速やかなアップデートが推奨されます。

HomeBoxのアイテム添付ファイルアップロード機能に、保存型クロスサイトスクリプティング（XSS）の脆弱性（CVE-2026-26272）が報告されました。認証されたユーザーが悪意のあるHTMLやSVGファイルをアップロードすることで、他のユーザーがそのファイルにアクセスした際に、ブラウザ上で任意のJavaScriptが実行される可能性があります。この脆弱性はバージョン0.24.0-rc.1で修正されています。

Concrete CMSのバージョン9.4.8未満に、保存型クロスサイトスクリプティング（XSS）の脆弱性（CVE-2026-3244）が報告されました。この脆弱性は、検索ブロックにおいてページ名が適切にHTMLエンコードされずにレンダリングされることに起因します。認証された管理者権限を持つ攻撃者が悪意のあるJavaScriptをページ名に埋め込むことで、他のユーザーが該当ページを検索し、検索結果を表示した際にスクリプトが実行される可能性があります。速やかなアップデートが推奨されます。

OpenEXRライブラリのCompositeDeepScanLine::readPixels関数に整数オーバーフローの脆弱性（CVE-2026-27622）が報告されました。この脆弱性は、細工されたEXRファイルを処理する際に、ヒープ領域への境界外書き込みを引き起こす可能性があります。結果として、サービス拒否や任意のコード実行につながる恐れがあり、影響を受けるシステムでは速やかに修正バージョンへのアップデートが推奨されます。

AIアプリ向けPythonライブラリBentoMLのtarファイル展開機能に、シンボリックリンク処理の不備による任意ファイル書き込みの脆弱性(CVE-2026-27905)が報告されました。攻撃者は細工したtarファイルを用いて、システム外部にファイルを書き込む可能性があります。本脆弱性はバージョン1.4.36で修正されています。

Pythonライブラリ「joserfc」のバージョン1.6.2以前に、サービス運用妨害（DoS）につながる脆弱性（CVE-2026-27932）が報告されました。この脆弱性は、JSON Web Encryption (JWE) トークンの復号処理において、特定のパラメータの検証が不十分であることに起因し、攻撃者によってサーバーのCPUリソースが大量に消費される可能性があります。速やかなアップデートが推奨されます。

Exiv2ライブラリのバージョン0.28.8より前のプレビュー機能に、境界外読み取りの脆弱性（CVE-2026-27596）が報告されています。特定のコマンドライン引数（-pp）を付けてExiv2を実行した場合にのみトリガーされ、通常はアプリケーションのクラッシュを引き起こす可能性があります。本脆弱性はバージョン0.28.8で修正済みです。

AWS-LCのAES-CCM復号処理にタイミングサイドチャネル脆弱性が発見されました。これにより、認証されていない攻撃者がタイミング分析を通じて認証タグの有効性を推測し、機密情報にアクセスできる可能性があります。影響を受けるのはEVP CIPHER APIを使用する実装です。AWSサービス利用者は対策不要ですが、AWS-LCを直接利用するアプリケーションはバージョン1.69.0へのアップグレードが推奨されます。

Code-Projects社製「Simple Food Order System v1.0」に、SQLインジェクションの脆弱性（CVE-2026-26712）が報告されました。この脆弱性は、`/food/view-ticket-admin.php`ファイルに存在し、深刻度は「CRITICAL」と評価されています。悪用された場合、機密情報の漏洩やデータ改ざん、不正アクセスにつながる恐れがあります。