CVE Vulnerability Database

FascinatedBox lilyのバージョン2.3以前に、エラー報告機能の処理に起因する境界外読み取りの脆弱性（CVE-2026-3390）が発見されました。この脆弱性は、ローカル環境からの攻撃でのみ悪用される可能性があり、公開されたエクスプロイトコードが存在すると報告されています。

WordPressのフォーラムプラグイン「wpForo Forum」バージョン2.4.14に認証不備の脆弱性が報告されました。この脆弱性を悪用されると、認証済みの購読者（サブスクライバー）が、本来モデレーターのみが行うべき投稿の承認・非承認操作を不正に行う可能性があります。これにより、フォーラムのコンテンツ管理が混乱し、ユーザーの信頼が損なわれる恐れがあります。

wpForo Forum 2.4.14に認証不備の脆弱性（CVE-2026-28555）が報告されました。この脆弱性により、認証済みの購読者権限を持つユーザーが、モデレーター権限なしに任意のフォーラムトピックを閉じたり開いたりできる可能性があります。これにより、フォーラムの議論が妨害される恐れがあります。

WordPressのフォーラムプラグイン「wpForo Forum」のバージョン2.4.14に、認証不備の脆弱性（CVE-2026-28556）が報告されています。この脆弱性により、認証済みの購読者権限を持つユーザーが、本来モデレーターに限定されるトピックの移動、結合、分割といった管理操作を実行できる可能性があります。これにより、フォーラムコンテンツの意図しない再編成や、プライベートフォーラムへのトピック移動による情報漏洩のリスクが懸念されます。

WordPressプラグイン『wpForo Forum』バージョン2.4.14に、認証済みユーザーが権限昇格を行う可能性のある脆弱性（CVE-2026-28557）が報告されました。この脆弱性は、権限チェックの不備により、wpForoのユーザーグループを任意のWordPressロールに再割り当てできるものです。結果として、一般ユーザーが管理者権限などを取得する恐れがあります。深刻度は中程度（MEDIUM）と評価されています。

wpForo Forum 2.4.14に、認証済みユーザーがSVG形式のアバターをアップロードする際に発生する保存型クロスサイトスクリプティング（XSS）の脆弱性が報告されました。攻撃者は細工されたSVGファイルをアップロードし、そのプロフィールを閲覧した他のユーザーのブラウザで悪意のあるスクリプトを実行させる可能性があります。これにより、セッションハイジャックや情報漏洩などのリスクが考えられます。

WordPressプラグイン「wpForo Forum」のバージョン2.4.14において、情報漏洩の脆弱性（CVE-2026-28559）が報告されました。この脆弱性を悪用されると、認証されていないユーザーがグローバルRSSフィードを通じて、非公開または未承認のフォーラムトピックを閲覧できる可能性があります。

wpForo Forum 2.4.14に保存型クロスサイトスクリプティング（XSS）の脆弱性（CVE-2026-28560）が報告されています。フォーラムのURLデータがインラインスクリプトブロックに出力される際のJSONエンコーディングの不備が原因です。攻撃者は特定のフォーラムスラッグを設定することで、サイト訪問者のブラウザで任意のスクリプトを実行させる可能性があります。

Tenda F453ルーターのファームウェアバージョン1.0.0.3において、リモートから悪用可能なバッファオーバーフローの脆弱性（CVE-2026-3378）が報告されました。特定の機能の引数を操作することで、攻撃者が任意のコードを実行するなどの深刻な影響を及ぼす可能性があります。本脆弱性の悪用コードは既に公開されており、早急な対策が求められます。