CVE Vulnerability Database

NimiqのProof-of-StakeプロトコルRust実装「nimiq/core-rs-albatross」において、マクロブロック提案の検証不備が報告されています。悪意のあるバリデーターが不正な提案を行うことで、他のバリデーターノードがクラッシュする可能性があります。本脆弱性はバージョン1.2.2で修正されており、速やかなアップデートが推奨されます。

コンテナイメージビルドツールkanikoのバージョン1.25.4から1.25.9に、ビルドコンテキストのアーカイブ展開時にパス・トラバーサル脆弱性が存在します。これにより、意図しないディレクトリへのファイル書き込みが発生し、特定の環境下ではコード実行につながる可能性があります。速やかなアップデートが推奨されます。

慈善団体向けウェブ管理ツールWeGIAのバージョン3.6.5未満に、認証バイパスの脆弱性が報告されています。`extract($_REQUEST)`関数の不適切な使用により、認証されていない攻撃者がローカル変数を上書きし、認証チェックを完全に回避して管理領域に不正アクセスする可能性があります。この脆弱性はCVSSスコア9.8の「緊急」と評価されており、速やかな対応が求められます。

オープンソースのテキストエディタVimの標準プラグイン「netrw」に、OSコマンドインジェクションの脆弱性（CVE-2026-28417）が報告されました。この脆弱性を悪用されると、細工されたURLをユーザーが開くことで、攻撃者がVimプロセスの権限で任意のシェルコマンドを実行する可能性があります。バージョン9.2.0073で修正されています。

VimのEmacsタグファイル解析ロジックにヒープベースのバッファオーバーフローの脆弱性が発見されました。細工されたタグファイルを処理すると、割り当てられたメモリ範囲外のデータを読み込む可能性があります。この脆弱性はVim 9.2.0074で修正されており、影響を受けるシステムでは速やかなアップデートが推奨されます。

VimのEmacs形式タグファイル解析機能にヒープベースのバッファアンダーフローの脆弱性が発見されました。細工されたタグファイルを処理する際に、メモリの不正な読み込みが発生する可能性があります。この問題はVimバージョン9.2.0075で修正されています。

オープンソースのテキストエディタVimのターミナルエミュレータに、Unicode補助平面の結合文字処理に関する脆弱性が発見されました。ヒープベースのバッファオーバーフローと境界外読み取りが発生し、悪用されるとサービス停止や情報漏洩につながる可能性があります。本脆弱性はVim 9.2.0076で修正済みです。

Gradioのバージョン6.7未満において、Windows環境でPython 3.13以降を使用している場合に、絶対パス・トラバーサルの脆弱性（CVE-2026-28414）が存在すると報告されています。これにより、認証されていない攻撃者がGradioサーバー上の任意のファイルを読み取れる可能性があります。本脆弱性はGradio 6.7で修正されています。

オープンソースのPythonパッケージであるGradioにおいて、OAuthフローにオープンリダイレクトの脆弱性（CVE-2026-28415）が報告されました。バージョン6.6.0より前のGradioアプリでOAuthが有効な場合、悪意のあるURLへユーザーをリダイレクトさせる可能性があります。この脆弱性は、特にHugging Face Spaces上でgr.LoginButtonを使用しているアプリに影響を与える可能性があります。バージョン6.6.0で修正済みです。