CVE Vulnerability Database

Craft CMSに、DNSリバインディングを利用してSSRF保護をバイパスできる脆弱性（CVE-2026-27127）が報告されました。この脆弱性は、SSRF検証時のDNS解決と実際のHTTPリクエストのタイミングのずれ（TOCTOU）を悪用し、内部ネットワークへの不正アクセスを可能にする可能性があります。特定のバージョンが影響を受け、速やかなアップデートが推奨されます。

Craft CMSの特定のバージョンにおいて、トークン検証サービスにTime-of-Check-Time-of-Use (TOCTOU) レースコンディションの脆弱性が存在します。これにより、使用回数が制限されたトークン（例：1回限りのなりすましトークン）が、データベースの更新が完了する前に複数回使用される可能性があります。攻撃者は有効なトークンを入手し、並行リクエストを送信することで、意図された制限を超えてトークンを悪用する可能性があります。

画像処理ソフトウェアImageMagickのMSL処理にスタックオーバーフローの脆弱性（CVE-2026-25971）が報告されました。循環参照のチェック不備が原因で、サービス停止や任意のコード実行の可能性があります。バージョン7.1.2-15および6.9.13-40で修正済みのため、早急なアップデートが推奨されます。

ImageMagickのDCMデコーダーにヒープ領域外読み取りの脆弱性(CVE-2026-25982)が報告されました。特定のDICOMファイルを処理すると、サービス拒否や情報漏洩につながる可能性があります。バージョン7.1.2-15および6.9.13-40以降への速やかなアップデートが推奨されます。

ImageMagickの特定のバージョンに、細工されたMSLスクリプトによってヒープ解放後使用（Use-After-Free）の脆弱性（CVE-2026-25983）が報告されました。これにより、サービス運用に影響が出る可能性があります。速やかなアップデートが推奨されます。

画像処理ライブラリImageMagickの特定のバージョンにメモリリークの脆弱性が報告されています。バージョン7.1.2-15より前のImageMagickにおいて、`coders/ashlar.c`内の処理で例外発生時にメモリが適切に解放されない問題が確認されました。これにより、システムリソースの枯渇につながる可能性があります。本脆弱性は中程度の深刻度と評価されています。

Craft CMSに、IPv6アドレス解決の特性を利用してSSRF保護をバイパスできる脆弱性（CVE-2026-27129）が報告されました。特定のバージョンが影響を受け、GraphQLの権限を持つ認証済みユーザーや、設定不備のある公開スキーマを通じて悪用される可能性があります。速やかなアップデートが推奨されます。

ImageMagickのSIXELデコーダに、悪意のあるSIXEL画像ファイルを処理する際にメモリ破損やサービス拒否を引き起こす可能性のある符号付き整数オーバーフローの脆弱性(CVE-2026-25970)が報告されました。影響を受けるのは特定のバージョン以前で、修正済みバージョンへの更新が推奨されます。

オープンソースの画像処理ソフトウェアImageMagickにおいて、特定の条件下で画像処理スタックのインデックス更新に不具合があり、メモリリークが発生し、画像情報が意図せず残存する可能性がある脆弱性（CVE-2026-25988）が報告されました。この脆弱性は、バージョン7.1.2-15および6.9.13-40より前のバージョンに影響します。