CVE Vulnerability Database

オープンソースのデータセンターインフラ管理ツールopenDCIMのバージョン23.04において、SQLインジェクションの脆弱性（CVE-2026-28516）が報告されました。この脆弱性は、認証済みの攻撃者によって任意のSQL文が実行される可能性があり、データベース内の情報漏洩や改ざん、システム停止などの深刻な影響が懸念されます。

データセンターインフラ管理ツールopenDCIMのバージョン23.04に、OSコマンドインジェクションの脆弱性(CVE-2026-28517)が報告されました。`report_network_map.php`において、データベースから取得した設定値が適切に検証されずに`exec()`関数に渡されるため、攻撃者が設定値を改ざんできる場合、任意のOSコマンドが実行される可能性があります。本脆弱性の深刻度はCRITICALと評価されています。

CVE-2026-2647は、当初Apache HTTP Serverのリモートコード実行の脆弱性として割り当てられましたが、後にCVE採番機関によって「取り下げられた（Rejected/Withdrawn）」と公式に報告されているCVE IDです。このため、現時点ではこのIDに関連する具体的な脆弱性の情報は公開されておらず、直接的な対策は不要と考えられます。しかし、今後の情報更新には注意が必要です。

Statamic CMSの特定のバージョンに、認証不備の脆弱性（CVE-2026-28424）が報告されました。この脆弱性により、「view users」権限を持たないコントロールパネルユーザーが、他のユーザーのメールアドレスにアクセスできる可能性があります。影響を受けるのはバージョン5.73.11未満および6.4.0未満で、既に修正済みバージョンがリリースされています。

Docker Model Runner (DMR) のバージョン1.0.16より前に、認証なしで任意のランタイムフラグを注入できる脆弱性 (CVE-2026-28400) が報告されました。この脆弱性を悪用されると、攻撃者はDMRプロセスがアクセス可能なファイルを書き換えたり、Docker Desktop環境ではコンテナやイメージなどのデータが破壊されたりする可能性があります。速やかなアップデートが推奨されます。

NimiqのProof-of-StakeプロトコルRust実装「nimiq/core-rs-albatross」において、マクロブロック提案の検証不備が報告されています。悪意のあるバリデーターが不正な提案を行うことで、他のバリデーターノードがクラッシュする可能性があります。本脆弱性はバージョン1.2.2で修正されており、速やかなアップデートが推奨されます。

コンテナイメージビルドツールkanikoのバージョン1.25.4から1.25.9に、ビルドコンテキストのアーカイブ展開時にパス・トラバーサル脆弱性が存在します。これにより、意図しないディレクトリへのファイル書き込みが発生し、特定の環境下ではコード実行につながる可能性があります。速やかなアップデートが推奨されます。

慈善団体向けウェブ管理ツールWeGIAのバージョン3.6.5未満に、認証バイパスの脆弱性が報告されています。`extract($_REQUEST)`関数の不適切な使用により、認証されていない攻撃者がローカル変数を上書きし、認証チェックを完全に回避して管理領域に不正アクセスする可能性があります。この脆弱性はCVSSスコア9.8の「緊急」と評価されており、速やかな対応が求められます。

オープンソースのテキストエディタVimの標準プラグイン「netrw」に、OSコマンドインジェクションの脆弱性（CVE-2026-28417）が報告されました。この脆弱性を悪用されると、細工されたURLをユーザーが開くことで、攻撃者がVimプロセスの権限で任意のシェルコマンドを実行する可能性があります。バージョン9.2.0073で修正されています。