CVE Vulnerability Database

WordPressプラグイン「EM Cost Calculator」のバージョン2.3.1以前に、保存型クロスサイトスクリプティング（XSS）の脆弱性（CVE-2026-2506）が報告されています。認証されていない攻撃者が特定のデータを介して悪意のあるスクリプトを注入し、管理者が顧客リストページを閲覧した際に実行される可能性があります。これにより、管理者のセッションハイジャックや情報漏洩などのリスクが考えられます。

WordPressプラグイン「User Registration & Membership」のバージョン5.1.2以前に認証バイパスの脆弱性（CVE-2026-1779）が報告されました。この脆弱性は、`register_member`関数の認証処理の不備に起因し、認証されていない攻撃者が、特定のユーザーメタが設定された新規登録ユーザーとしてログインできる可能性があります。影響は大きく、早急な対策が推奨されます。

Fleetのバージョン4.80.1未満において、チーム管理者が他のチームに属する証明書テンプレートを一括削除できる認証バイパスの脆弱性（CVE-2026-25963）が報告されました。この脆弱性は、証明書ベースのワークフローに影響を与え、デバイス登録やWi-Fi認証などに支障をきたす可能性があります。機密データへのアクセスや特権昇格の報告はありません。

オープンソースのデバイス管理ソフトウェアFleetにおいて、バージョン4.80.1より前のバージョンで、デバイスロックおよびワイプ用のPINが予測可能なアルゴリズムで生成される脆弱性（CVE-2026-23999）が報告されました。このPINはUnixタイムスタンプのみに基づいており、秘密鍵や追加のエントロピーが使用されていなかったため、デバイスがロックされたおおよその時刻が判明している場合、PINが予測される可能性があります。ただし、悪用には物理的なデバイスアクセスが必要であり、複数の制約があるため、リモートからの悪用や広範囲な影響は限定的とされています。

オープンソースのデバイス管理ソフトウェアFleetにおいて、Android MDM機能に認証なしでデバイスの登録解除が可能となる脆弱性（CVE-2026-24004）が報告されました。この脆弱性が悪用されると、攻撃者は特定のAndroidデバイスをFleetの管理下から不正に解除する可能性があります。影響はデバイス管理の機能停止に限定され、データアクセスやコマンド実行には繋がりません。バージョン4.80.1で修正済みです。

ポータブルファイルサーバー「Copyparty」のバージョン1.20.9未満において、URLパラメータを介した反射型クロスサイトスクリプティング（XSS）の脆弱性（CVE-2026-27948）が報告されています。この脆弱性が悪用されると、ユーザーのブラウザ上で任意のスクリプトが実行される可能性があります。開発元はバージョン1.20.9でこの問題に対処しています。

Agenta-APIの特定バージョンにおいて、Pythonサンドボックスエスケープの脆弱性（CVE-2026-27952）が報告されました。認証された攻撃者がこの脆弱性を悪用することで、APIサーバー上で任意のコードを実行できる可能性があります。影響を受けるのはセルフホスト型のAgentaプラットフォームであり、速やかなアップデートが推奨されます。

オープンソースのライブサポートアプリケーションLiveHelperChatのバージョン4.52以前に、部門レベルの認可バイパスの脆弱性が報告されました。これにより、オペレーターが本来アクセス権を持たない部門のチャットを不正に操作（保留、ユーザーブロック、転送）できる可能性があります。組織内の水平的な権限昇格につながる恐れがあり、早急な対策が推奨されます。

Koaの`ctx.hostname` APIがHTTP Hostヘッダーの不適切な解析を行うため、Hostヘッダーインジェクション攻撃を受ける可能性があります。攻撃者が制御する値をアプリケーションが利用することで、URL生成やルーティングに悪影響を及ぼす恐れがあります。速やかなアップデートが推奨されます。