CVE Vulnerability Database

オープンソースのPythonパッケージGradioのバージョン6.6.0未満に、サーバーサイドリクエストフォージェリ（SSRF）の脆弱性が報告されました。攻撃者が悪意のあるGradio Spaceをホストし、被害側のアプリケーションがこれをロードすると、内部ネットワークへの不正なリクエスト実行が可能になる可能性があります。速やかなバージョンアップが推奨されます。

サプライチェーンの侵害検出ツール「malcontent」において、バージョン1.21.0より前のバージョンに、ネストされたアーカイブの抽出に失敗した場合、その内容がスキャンから除外され、悪意のあるコンテンツが見過ごされる可能性がある脆弱性（CVE-2026-28407）が報告されました。この問題はバージョン1.21.0で修正されています。

慈善団体向けWeb管理ツールWeGIAの`adicionar_tipo_docs_atendido.php`スクリプトに、認証・権限チェックの不備（CVE-2026-28408）が報告されました。これにより、認証されていない攻撃者が従業員専用機能にアクセスし、アプリケーションサーバーに大量の不正データを注入する可能性があります。CVSSv3スコア9.8の緊急（CRITICAL）と評価されており、バージョン3.6.5で修正済みです。

慈善団体向けウェブマネージャーWeGIAのデータベース復元機能に、OSコマンドインジェクションの脆弱性が報告されています。管理者権限を持つ攻撃者が、細工されたファイル名を持つバックアップファイルをアップロードすることで、サーバー上で任意のOSコマンドを実行できる可能性があります。この脆弱性はバージョン3.6.5で修正されています。

EV Energy ev.energyの充電ステーションにおいて、認証情報がWebベースのマッピングプラットフォームを通じて公開されている脆弱性（CVE-2026-25774）が報告されました。この脆弱性は中程度の深刻度と評価されており、公開された認証情報が悪用されることで、充電ステーションの不正利用や関連する情報漏洩のリスクが懸念されます。IT担当者は、自社が利用する充電ステーションの認証情報の公開状況を確認し、適切な対策を講じることが推奨されます。

Tenda F453ルーターのファームウェアバージョン1.0.0.3において、httpdコンポーネントの特定の機能にバッファオーバーフローの脆弱性(CVE-2026-3273)が報告されました。この脆弱性はリモートから悪用される可能性があり、公開されたエクスプロイトコードが存在するとされています。対象製品をご利用の企業は、速やかに情報収集と対策を検討することが推奨されます。

Copeland XWEB Proのバージョン1.12.1以前にOSコマンドインジェクションの脆弱性（CVE-2026-23702）が報告されました。認証された攻撃者がAPI V1ルートを介して悪意のある入力を送信することで、リモートで任意のコードを実行する可能性があります。影響を受けるシステムでは早急な確認と対策が推奨されます。

Copeland XWEB Proのバージョン1.12.1以前に、OSコマンドインジェクションの脆弱性（CVE-2026-24452）が報告されました。認証された攻撃者が細工されたテンプレートファイルを供給することで、リモートで任意のコードを実行できる可能性があります。この脆弱性は深刻度「HIGH」と評価されており、対象製品をご利用の企業は速やかな確認と対策が推奨されます。

EV Energy ev.energyのWebSocketバックエンドに、セッション識別子の不適切な管理に起因する脆弱性（CVE-2026-26290）が報告されました。この脆弱性により、セッションハイジャックやサービス拒否（DoS）攻撃の可能性があり、充電ステーションの不正操作や停止につながる恐れがあります。関係者は速やかに情報収集と対策を講じることを推奨します。