CVE Vulnerability Database

CVE-2026-26713は、Webアプリケーション「Code-Projects Simple Food Order System v1.0」に存在するSQLインジェクションの脆弱性です。特に`/food/routers/cancel-order.php`パスに影響があり、深刻度はCRITICALと評価されています。この脆弱性が悪用された場合、データベース内の情報漏洩や改ざん、さらにはシステムへの不正アクセスにつながる可能性があります。

AWS-LCのPKCS7_verify()関数に署名検証の不備があり、認証されていない攻撃者がPKCS7オブジェクトの署名検証を迂回できる脆弱性(CVE-2026-3338)が報告されました。この脆弱性が悪用されると、信頼されていないPKCS7オブジェクトが正当なものとして処理される可能性があります。AWSサービスをご利用のお客様は対応不要ですが、AWS-LCを使用するアプリケーションはバージョン1.69.0へのアップグレードが推奨されます。

WordPressテーマBlocksyに、認証された攻撃者によって任意のウェブスクリプトが挿入される保存型クロスサイトスクリプティングの脆弱性(CVE-2026-2583)が報告されています。影響を受けるのはバージョン2.1.30までで、Contributor以上の権限を持つ攻撃者が悪用する可能性があります。ユーザーが影響を受けるページにアクセスすると、スクリプトが実行される恐れがあります。

Poly社製音声デバイスからテスト用の鍵と証明書が抽出され、SIPサービスプロバイダーが適切な検証を行わない場合に、デバイスのなりすましが発生する可能性がある脆弱性（CVE-2026-0754）が報告されました。この脆弱性はCVSSv3スコア8.2の「HIGH」と評価されており、早急な対策が推奨されます。

WordPressプラグイン「LatePoint – Calendar Booking Plugin for Appointments and Events」のバージョン5.2.7以前に、SQLインジェクションの脆弱性（CVE-2026-1487）が報告されました。本脆弱性は、JSONインポート機能におけるユーザー提供データの検証不足に起因し、管理者権限を持つ認証済み攻撃者によって、データベースへの不正な操作が行われる可能性があります。

WordPressプラグイン「Uncanny Automator」のバージョン7.0.0.3以前に、サーバーサイドリクエストフォージェリ（SSRF）の脆弱性が報告されています。管理者権限を持つ認証済み攻撃者により、内部サービスへの不正なリクエストや任意のファイルアップロード、さらにはリモートコード実行につながる可能性があります。

WordPressプラグイン「Page Builder by SiteOrigin」のバージョン2.33.5以前に、ローカルファイルインクルージョン（LFI）の脆弱性CVE-2026-2448が報告されました。認証された攻撃者（寄稿者以上の権限）がこの脆弱性を悪用すると、サーバー上で任意のファイルをインクルードし、PHPコードを実行できる可能性があります。これにより、機密情報の窃取やシステム乗っ取りに至る恐れがあります。速やかなアップデートが推奨されます。

WordPressプラグイン「All-in-One Microsoft 365 & Entra ID / Azure AD SSO Login」のバージョン2.2.5以前に、認証バイパスの脆弱性（CVE-2026-2628）が報告されました。この脆弱性を悪用されると、認証されていない攻撃者が管理者を含む他のユーザーとしてログインできる可能性があります。深刻度はCVSS 9.8の「緊急」と評価されており、早急な対応が推奨されます。

Code-Projects Simple Food Order System v1.0において、SQLインジェクションの脆弱性（CVE-2026-26711）が報告されました。この脆弱性は、/food/view-ticket.phpパスに存在し、深刻度はCRITICALと評価されています。データベースへの不正アクセスや情報漏洩、改ざんなどのリスクがあるため、対象製品をご利用の企業は速やかな確認と対策が推奨されます。