CVE Vulnerability Database

Exiv2ライブラリのCRW画像パーサーに、バージョン0.28.8より前のバージョンで境界外読み取りの脆弱性（CVE-2026-25884）が発見されました。この脆弱性は、細工されたCRWファイルを処理することで、プログラムのクラッシュや情報漏洩につながる可能性があります。深刻度はLOWと評価されており、速やかなアップデートが推奨されます。

Command Centre Mobile ClientのAndroidおよびiOS版に、機密情報が平文で保存される脆弱性（CVE-2025-47147）が報告されました。この脆弱性が悪用されると、攻撃者がログイン中のオペレーターのモバイルデバイスにアクセスした場合、セッショントークンを抽出され、一定期間システムへの不正アクセスを許す可能性があります。対象はバージョン9.40.123より前のクライアントです。速やかなアップデートが推奨されます。

Gallagher Morpho Command Centre Serverに、特権を持つオペレーターによって限定的なサービス拒否（Denial-of-Service）が引き起こされる可能性のある脆弱性（CVE-2026-20757）が報告されました。この脆弱性は、不適切なロック処理（CWE-667）に起因します。影響を受けるのは特定のバージョンのCommand Centre Serverであり、システムの一部機能が一時的に利用できなくなる恐れがあります。ベンダーから提供される修正パッチの適用が強く推奨されます。

Code-Projects Simple Food Order System v1.0に、SQLインジェクションの脆弱性（CVE-2026-26710）が報告されました。この脆弱性は、特定のファイルパスにおいて悪用される可能性があり、深刻度はCRITICAL（9.8）と評価されています。データベース内の情報漏洩や改ざんにつながる恐れがあるため、対象システムの利用者は早急な対応が推奨されます。

シェルコマンドの誤りを自動修正するユーティリティ「theshit」のバージョン0.2.0より前のバージョンに、不適切な権限破棄に起因するローカル権限昇格の脆弱性（CVE-2026-21882）が報告されました。この脆弱性が悪用されると、ローカルユーザーがコマンドを再実行することで、より高い権限を取得する可能性があります。

CVE-2026-20801は、Gallagher Hanwha VMSおよびGallagher NxWitness VMSの統合コンポーネントに存在する、機密情報の平文伝送（CWE-319）の脆弱性です。この脆弱性により、ローカルネットワークにアクセスできる権限のないユーザーが、ライブビデオストリームを不正に閲覧できる可能性があります。影響を受けるのは特定のバージョンより前の製品であり、速やかなアップデートが推奨されます。

オープンソースのワークスペースAFFiNEにおいて、バージョン0.26.0より前の製品にオープンリダイレクトの脆弱性(CVE-2026-25477)が報告されました。この脆弱性は、`/redirect-proxy`エンドポイントのドメイン検証ロジックに不適切な正規表現が使用されていることに起因し、攻撃者がホワイトリストを迂回して悪意のあるドメインへユーザーを誘導する可能性があります。本脆弱性はバージョン0.26.0で修正済みです。

Exiv2ライブラリおよびユーティリティのバージョン0.28.8より前のバージョンにおいて、プレビュー機能に整数オーバーフローの脆弱性が報告されています。特定のコマンドライン引数（-pp）を付与して実行した場合、巨大なデータ構造を生成しようとすることで、アプリケーションがクラッシュする可能性があります。この問題はバージョン0.28.8で修正済みです。

ModelScopeのms-agent v1.6.0rc1以前のバージョンに、コマンドインジェクションの脆弱性（CVE-2026-2256）が報告されています。この脆弱性が悪用されると、細工されたプロンプト入力によって、攻撃者が任意のOSコマンドを実行する可能性があります。本記事では、この脆弱性の概要、影響、推奨される対策について解説します。