CVE Vulnerability Database

ファイルマネージャー「FileBrowser Quantum」の旧バージョンに、パスワード保護された共有ファイルがパスワードなしでダウンロード可能となる脆弱性（CVE-2026-27611）が報告されました。APIが直接ダウンロードリンクを返すため、共有リンクを知る第三者が機密情報にアクセスできる可能性があります。早急なバージョンアップが推奨されます。

多言語CMS「TypiCMS Core」のバージョン16.1.7より前のファイルアップロード機能に、保存型クロスサイトスクリプティング（XSS）の脆弱性が報告されています。ファイルアップロード権限を持つ攻撃者が悪意のあるSVGファイルをアップロードすることで、他のユーザーのブラウザ上でスクリプトが実行され、セッションハイジャックなどの被害につながる可能性があります。本脆弱性はバージョン16.1.7で修正済みです。

Webインターフェースからシェルコマンドを実行するツールOliveTinに、OSコマンドインジェクションの脆弱性「CVE-2026-27626」が報告されました。本脆弱性は、認証されたユーザーによる特定の引数タイプを介した悪用、またはWebhook経由での未認証の攻撃によって、任意のOSコマンド実行につながる可能性があります。特に、Webhook連携を利用している環境では未認証でのリモートコード実行のリスクがあります。

オープンソースのPython PDFライブラリ「pypdf」に、特定の細工されたPDFファイルを読み込むと無限ループが発生する脆弱性(CVE-2026-27628)が報告されました。この問題はpypdf 6.7.2で修正されており、早期のアップデートが推奨されます。攻撃者はこの脆弱性を悪用し、サービス拒否を引き起こす可能性があります。

GitHubリポジトリ情報を表示するReactコンポーネント「Repostat」のバージョン1.0.1より前に、リフレクト型クロスサイトスクリプティング（XSS）の脆弱性が報告されています。この脆弱性は、`RepoCard`コンポーネントがユーザー入力を適切にサニタイズせずにレンダリングする際に発生し、攻撃者が任意のJavaScriptコードを実行する可能性があります。開発者はRepostatをバージョン1.0.1以降に速やかにアップデートすることが推奨されます。

Bugsinkのバージョン2.0.13未満に、保存型クロスサイトスクリプティング（XSS）の脆弱性（CVE-2026-27614）が報告されています。認証されていない攻撃者が、細工されたイベントを送信することで任意のJavaScriptコードをデータベースに保存し、管理者が該当イベントを閲覧した際に、そのブラウザ上でコードを実行する可能性があります。この脆弱性は、Pygmentsのフォールバック処理とサニタイズの不備に起因します。

ADB Explorerの特定のバージョンにおいて、設定ファイル内のADB実行パスがUNCパスとして指定可能であり、これにより攻撃者が制御するネットワーク共有上の悪意あるバイナリを実行させ、リモートコード実行（RCE）に至る可能性がある脆弱性が報告されています。ユーザーが細工されたショートカットを実行することで悪用される可能性があります。

分散オブジェクトストレージシステムRustFSの管理コンソールに、Stored Cross-Site Scripting（XSS）の脆弱性（CVE-2026-27822）が報告されました。この脆弱性を悪用されると、攻撃者が任意のJavaScriptを実行し、管理者認証情報を窃取することで、アカウントの乗っ取りやシステム全体の侵害につながる可能性があります。バージョン1.0.0-alpha.83で修正されています。

画像処理ライブラリlibvipsのバージョン8.18.0までに、特定の関数（vips_foreign_load_matrix_file_is_a/vips_foreign_load_matrix_header）にメモリ破損の脆弱性が発見されました。この脆弱性はローカルからの攻撃を必要とし、システムクラッシュや予期せぬ動作を引き起こす可能性があります。パッチの適用が推奨されています。