WordPressプラグイン「User Registration & Membership」に、認証されていない攻撃者が新規登録ユーザーのアカウントを削除できる脆弱性(CVE-2026-2356)が報告されました。影響を受けるのはバージョン5.1.2以前で、不適切な直接オブジェクト参照(IDOR)が原因です。
Stay ahead of security threats with real-time vulnerability insights.
Empowering your security operations with actionable intelligence.
WordPressプラグイン「User Registration & Membership」に、認証されていない攻撃者が新規登録ユーザーのアカウントを削除できる脆弱性(CVE-2026-2356)が報告されました。影響を受けるのはバージョン5.1.2以前で、不適切な直接オブジェクト参照(IDOR)が原因です。
セルフホスト型オーディオブック/ポッドキャストサーバー「Audiobookshelf」のモバイルアプリケーションに、保存型クロスサイトスクリプティング(XSS)の脆弱性が報告されました。悪意のあるライブラリメタデータを通じて任意のJavaScriptが実行される可能性があり、セッションハイジャックやデータ窃取のリスクがあります。バージョン0.12.0-betaで修正済みです。
WordPressプラグイン「Livemesh Addons for Beaver Builder」のバージョン3.9.2以前に、保存型クロスサイトスクリプティング(XSS)の脆弱性が報告されました。認証された攻撃者により、悪意のあるスクリプトが注入され、サイト訪問者のブラウザ上で実行される可能性があります。早急なアップデートが推奨されます。
WordPressのCustom Logoプラグインに、管理者権限を持つ攻撃者によって悪用される可能性のあるStored Cross-Site Scripting (XSS) の脆弱性(CVE-2026-2499)が報告されました。バージョン2.2以前の全バージョンが影響を受け、多サイト環境やunfiltered_htmlが無効な環境で、管理設定を通じて任意のスクリプトが注入される恐れがあります。これにより、ユーザーが影響ページにアクセスした際にスクリプトが実行される可能性があります。
Vitessの特定のバージョンにおいて、バックアップストレージへのアクセス権を持つ攻撃者が、バックアップマニフェストファイルを操作することで、バックアップ復元時に任意のコードを実行できる脆弱性が報告されています。これにより、本番環境への不正アクセスや情報窃取、追加コマンドの実行につながる可能性があります。
AIエージェント構築ツールLangflowのCSV Agentノードに、リモートコード実行(RCE)の脆弱性(CVE-2026-27966)が報告されました。バージョン1.8.0未満の製品が影響を受け、プロンプトインジェクションにより任意のPythonコードやOSコマンドが実行される可能性があります。速やかなアップデートが推奨されます。
Packistryの特定のバージョンにおいて、期限切れのデプロイトークンがリポジトリへのアクセスを許可してしまう脆弱性が報告されました。この問題は、トークンの有効期限が適切にチェックされていなかったことに起因します。攻撃者は、期限切れのトークンを利用してComposerメタデータやダウンロードAPIにアクセスできる可能性があります。
WordPressプラグイン「TP2WP Importer」に、管理者権限を持つ攻撃者によって悪用される可能性のある保存型クロスサイトスクリプティング(XSS)の脆弱性(CVE-2026-2489)が報告されました。この脆弱性は、設定ページにアクセスしたユーザーのブラウザ上で任意のスクリプトが実行される恐れがあります。
WordPressプラグイン「WP Social Meta」のバージョン1.0.1以前に、管理者設定を介した保存型クロスサイトスクリプティング(XSS)の脆弱性(CVE-2026-2498)が報告されています。この脆弱性は、認証された管理者権限を持つ攻撃者によって悪用される可能性があり、特定の環境下で任意のウェブスクリプトが実行される恐れがあります。