07FLYCMS、07FLY-CMS、07FlyCRMのバージョン1.2.9までの製品にクロスサイトスクリプティング(XSS)の脆弱性が発見されました。この脆弱性はリモートから攻撃可能であり、既にエクスプロイトコードが公開されていると報告されています。ベンダーからの公式な対応は現時点ではありません。
Stay ahead of security threats with real-time vulnerability insights.
Empowering your security operations with actionable intelligence.
07FLYCMS、07FLY-CMS、07FlyCRMのバージョン1.2.9までの製品にクロスサイトスクリプティング(XSS)の脆弱性が発見されました。この脆弱性はリモートから攻撃可能であり、既にエクスプロイトコードが公開されていると報告されています。ベンダーからの公式な対応は現時点ではありません。
D-Link製ルーターDWR-M960のファームウェアバージョン1.01.07において、スタックベースバッファオーバーフローの脆弱性(CVE-2026-2959)が報告されました。特定の引数を操作することで、リモートからの攻撃が可能とされており、既に攻撃コードが公開されているため、早急な対策が推奨されます。
D-Link DWR-M960ルーターのファームウェアバージョン1.01.07に、リモートから悪用可能なスタックベースバッファオーバーフローの脆弱性(CVE-2026-2960)が報告されています。特定の引数を操作することで、攻撃者が任意のコードを実行する可能性があります。本脆弱性に対するエクスプロイトコードが既に公開されており、早急なファームウェアアップデートを含む対策が強く推奨されます。
D-Link DWR-M960ルーターのVPN設定機能に、リモートから悪用可能なスタックベースのバッファオーバーフローの脆弱性が報告されました。この脆弱性は、特定の引数を操作することで発生し、攻撃が成功した場合、デバイスの予期せぬ動作や制御を奪われる可能性があります。既にエクスプロイトコードが公開されており、早急な対策が求められます。
WisdomGardenが開発する学習管理システム「Tronclass」において、不適切なオブジェクト参照(IDOR)の脆弱性(CVE-2026-2997)が報告されました。この脆弱性を悪用されると、認証済みの攻撃者が特定のパラメータを操作することで、任意のコースの招待コードを取得し、そのコースに不正に参加する可能性があります。影響を受けるシステムをご利用の企業は、速やかに詳細を確認し、対策を講じることが推奨されます。
Cesanta Mongooseのバージョン7.20以前において、DNSトランザクションIDの生成に使用される乱数値が不十分である可能性が報告されています。この脆弱性が悪用された場合、リモートからの攻撃につながる可能性がありますが、攻撃の複雑性は高く、悪用は困難とされています。ベンダーからの対応は確認されていません。
CVE-2026-24494は、Order Up Online Ordering System 1.0の特定のAPIエンドポイントに存在するSQLインジェクションの脆弱性です。認証されていない攻撃者が細工されたリクエストを送信することで、バックエンドデータベースの機密情報にアクセスできる可能性があります。CVSSv3スコアは9.8で、深刻度は「緊急」と評価されています。
higuma web-audio-recorder-jsのバージョン0.1および0.1.1において、プロトタイプ汚染の脆弱性(CVE-2026-2964)が報告されました。`lib/WebAudioRecorder.js`内の`extend`関数がオブジェクトのプロトタイプ属性を不適切に改変する可能性があります。攻撃はリモートから可能ですが、複雑性が高く悪用は困難とされています。しかし、公開されているエクスプロイトコードが存在するため、影響を受けるシステムでは対策の検討が推奨されます。
Vaelsys 4.1.0にOSコマンドインジェクションの脆弱性(CVE-2026-2952)が報告されています。HTTP POSTリクエストハンドラーの`/tree/tree_server.php`ファイルにおいて、`xajaxargs`引数の操作によりリモートからの攻撃が可能となります。既にエクスプロイトコードが公開されており、悪用されるリスクが高い状況です。ベンダーからの応答は現時点ではありません。深刻度は「HIGH」と評価されています。