CVE Vulnerability Database

画像処理ライブラリlibvipsのバージョン8.18.0までに、ヌルポインタ参照解除の脆弱性(CVE-2026-3146)が発見されました。この脆弱性は、特定の関数が不正な処理を行った際に発生し、攻撃にはローカルでの実行が必要です。深刻度は「MEDIUM」と評価されており、パッチの適用が推奨されています。

オープンソースの在庫管理システムInvenTreeの特定バージョンにおいて、サーバーサイドテンプレートインジェクション（SSTI）の脆弱性（CVE-2026-27629）が報告されました。この脆弱性は、スタッフ権限を持つ悪意のあるユーザーによって悪用された場合、機密情報の漏洩やサーバー上での任意のコード実行につながる可能性があります。バージョン1.2.3以降で修正されており、一時的な緩和策も提供されています。対象システムの利用者は速やかな対応が推奨されます。

Talisharアプリケーションにおいて、クロスサイトリクエストフォージェリ（CSRF）の脆弱性（CVE-2026-27632）が報告されました。この脆弱性は、特定のゲームインタラクション処理においてCSRF保護が不足していることに起因し、認証済みユーザーの意図しない操作が実行される可能性があります。CVSSv3スコアは2.6で、深刻度は「低」と評価されています。

オープンソースの電子カルテ・医療業務管理システムOpenEMRにおいて、バージョン8.0.0より前のバージョンにアクセス制御の不備が存在します。この脆弱性を悪用されると、認証済みの低権限ユーザーであっても、本来アクセスが許可されていないEDIログファイルを閲覧できる可能性があります。

Parse Dashboardの特定のバージョンにおいて、AI Agent APIエンドポイントに認証不備が存在し、認証済みユーザーが他のアプリのデータにアクセスしたり、読み取り専用ユーザーが書き込み・削除操作を実行したりする可能性がある脆弱性です。影響は`agent`設定が有効な環境に限定されます。

Parse Dashboardの特定バージョンにおいて、AI Agent APIエンドポイントにCSRF（クロスサイトリクエストフォージェリ）保護が欠如している脆弱性（CVE-2026-27609）が報告されました。認証済みユーザーが細工されたページを閲覧すると、意図しないリクエストが送信される可能性があります。影響を受けるのはバージョン7.3.0-alpha.42から9.0.0-alpha.7で、深刻度は「HIGH」と評価されています。速やかなアップデートまたは設定変更が推奨されます。

Parse Dashboardの特定のバージョンにおいて、キャッシュキーの衝突により、本来アクセス権のないユーザーがマスターキーを取得したり、その逆の事態が発生したりする脆弱性(CVE-2026-27610)が報告されました。これにより、機密情報への不正アクセスやシステム操作のリスクが高まる可能性があります。速やかな対策が推奨されます。

CyberArk Endpoint Privilege Manager Agentのバージョン25.10.0およびそれ以前に、権限昇格の脆弱性（CVE-2026-2914）が報告されました。この脆弱性が悪用されると、攻撃者がCyberArkの昇格ダイアログを不正に利用し、システム上で高い権限を取得する可能性があります。対象製品をご利用の企業は、速やかに情報収集と対策の検討が推奨されます。

日立のHitachi Ops Center API Configuration Manager、Hitachi Configuration Manager、Hitachi Device Managerに情報漏えいの脆弱性（CVE-2025-5781）が報告されました。この脆弱性が悪用された場合、セッションハイジャックにつながる可能性があります。影響を受けるバージョンをご利用の企業は、速やかに対応を検討することが推奨されます。本脆弱性の深刻度はMEDIUMと評価されています。