WordPress用eラーニングプラグイン「Tutor LMS」にSQLインジェクションの脆弱性(CVE-2025-13673)が報告されました。バージョン3.9.6以前の全バージョンが影響を受け、認証されていない攻撃者が「coupon_code」パラメータを悪用することで、データベースから機密情報を窃取する可能性があります。深刻度は「HIGH」と評価されています。
Stay ahead of security threats with real-time vulnerability insights.
Empowering your security operations with actionable intelligence.
WordPress用eラーニングプラグイン「Tutor LMS」にSQLインジェクションの脆弱性(CVE-2025-13673)が報告されました。バージョン3.9.6以前の全バージョンが影響を受け、認証されていない攻撃者が「coupon_code」パラメータを悪用することで、データベースから機密情報を窃取する可能性があります。深刻度は「HIGH」と評価されています。
Microchip社の時刻同期管理ソフトウェアTimePictraのバージョン11.0から11.3 SP2において、重要な機能に対する認証が欠如している脆弱性(CVE-2026-2844)が報告されました。この脆弱性が悪用されると、認証なしで設定や環境が操作される可能性があります。CVSSv3スコアは9.3(緊急)と評価されており、早急な対策が求められます。
オープンソースのコマンドラインテキストエディタVimにおいて、バージョン9.2.0078より前のバージョンにスタックバッファオーバーフローの脆弱性(CVE-2026-28422)が報告されました。非常に広いターミナルでマルチバイト文字を含むステータスラインをレンダリングする際に発生し、サービス運用妨害などの影響が生じる可能性があります。速やかなアップデートが推奨されます。
コンテンツ管理システム(CMS)であるStatamicの特定のバージョンに、保存型クロスサイトスクリプティング(XSS)の脆弱性が報告されました。この脆弱性を悪用されると、認証された攻撃者が高権限ユーザーのセッションで任意のJavaScriptを実行し、権限昇格につながる可能性があります。速やかなアップデートが推奨されます。
openDCIMバージョン23.04(コミット4467e9c4以前)において、認証不備の脆弱性(CVE-2026-28515)が報告されました。これにより、権限のない認証済みユーザーがLDAP設定機能にアクセスし、アプリケーション設定を不正に変更する可能性があります。特定の環境では認証なしでのアクセスも指摘されており、速やかな対策が求められます。
オープンソースのコマンドラインテキストエディタVimのバージョン9.2.0077より前のバージョンにおいて、ヒープバッファオーバーフローおよびセグメンテーションフォルトの脆弱性(CVE-2026-28421)が報告されました。これは、スワップファイルのリカバリロジックに起因し、細工されたスワップファイルから読み込まれる未検証のフィールドが原因とされています。本脆弱性はVim 9.2.0077で修正されています。
WordPressプラグイン「Featured Image from Content」のバージョン1.7未満に、認証済みサーバーサイドリクエストフォージェリ(SSRF)の脆弱性が存在します。これにより、Author(投稿者)以上の権限を持つユーザーが内部HTTPリソースにアクセスし、機密情報を取得する可能性があります。
コンテンツ管理システムStatamicにおいて、画像操作ライブラリGlideが安全でないモードで使用されている場合、認証されていない攻撃者によってサーバーサイドリクエストフォージェリ(SSRF)攻撃が可能となる脆弱性(CVE-2026-28423)が報告されました。これにより、内部サービスやクラウドメタデータエンドポイントへのアクセスを許してしまう可能性があります。
コンテンツ管理システム(CMS)であるStatamicに、リモートコード実行(RCE)の脆弱性(CVE-2026-28425)が報告されました。バージョン5.73.11および6.4.0より前の環境において、認証済みのコントロールパネルユーザーが特定の条件を満たすAntlers有効な入力にアクセスできる場合、悪用される可能性があります。これにより、機密情報へのアクセスやデータ改ざん、システム停止などの深刻な影響が懸念されます。速やかなアップデートが推奨されます。