ZKTeco ZKBioSecurity 3.0には、クロスサイトリクエストフォージェリ(CSRF)の脆弱性(CVE-2016-20028)が存在します。この脆弱性が悪用されると、ログイン中のユーザーをだまして悪意のあるウェブサイトにアクセスさせることで、攻撃者が管理者権限を持つアカウントを不正に追加し、システムへの不正な管理アクセスが可能になる可能性があります。
Stay ahead of security threats with real-time vulnerability insights.
Empowering your security operations with actionable intelligence.
ZKTeco ZKBioSecurity 3.0には、クロスサイトリクエストフォージェリ(CSRF)の脆弱性(CVE-2016-20028)が存在します。この脆弱性が悪用されると、ログイン中のユーザーをだまして悪意のあるウェブサイトにアクセスさせることで、攻撃者が管理者権限を持つアカウントを不正に追加し、システムへの不正な管理アクセスが可能になる可能性があります。
AnythingLLMのバージョン1.11.1以前に、管理者権限を持つユーザーのみがアクセスできるはずのシステム設定エンドポイントに、マネージャー権限のユーザーがアクセスできる脆弱性(CVE-2026-32715)が報告されています。この脆弱性を悪用されると、SQLデータベースの認証情報が読み取られたり、システムプロンプトやAPIキーなどの重要なグローバル設定が不正に変更されたりする可能性があります。
AnythingLLMのバージョン1.11.1以前において、マルチユーザーモードで停止されたユーザーがブラウザ拡張機能のAPIキーを介してシステムにアクセスし続けられる脆弱性(CVE-2026-32717)が報告されています。これにより、停止されたユーザーがワークスペースのメタデータの読み取りやアップロード、埋め込み操作を継続できる可能性があります。本脆弱性の深刻度は「低」と評価されています。
AnythingLLMのバージョン1.11.1およびそれ以前において、コミュニティハブからのプラグインインポート機能にZip Slipパス・トラバーサルの脆弱性が報告されています。この脆弱性が悪用された場合、攻撃者によって任意のコードが実行される可能性があります。
WordPressプラグインFlycart UpsellWPのバージョン2.2.4以前において、SQLインジェクションの脆弱性(CVE-2026-32459)が報告されました。この脆弱性が悪用されると、攻撃者によってデータベース内の情報が不正に取得される可能性があります。対象製品をご利用のIT担当者は、速やかに影響範囲を確認し、適切な対策を講じることが推奨されます。
WooCommerceの「Product Feed PRO」プラグインにクロスサイトリクエストフォージェリ(CSRF)の脆弱性(CVE-2026-32443)が報告されました。この脆弱性はバージョン13.5.2以前に影響し、攻撃者がユーザーの意図しない操作を実行させる可能性があります。
CVE-2026-32460は、WordPressプラグイン「Themefic Ultimate Addons for Contact Form 7」に存在するクロスサイトスクリプティング(XSS)の脆弱性です。バージョン3.5.36以前が影響を受け、攻撃者が悪意のあるスクリプトを挿入し、ユーザーのブラウザ上で実行させる可能性があります。これにより、セッション情報の窃取やウェブサイトの改ざんなどの被害が想定されます。速やかなプラグインのアップデートが推奨されます。
CodeGenieApp serverless-expressのバージョン4.17.1以前に、Users Endpointのutils/dynamodb.tsファイルにおいてインジェクション脆弱性が報告されました。リモートからの攻撃が可能であり、既にエクスプロイトコードが公開されているため、早急な対策が推奨されます。ベンダーからの公式な対応は現時点では確認されていません。
itsourcecode Payroll Management System 1.0にクロスサイトスクリプティング(XSS)の脆弱性が報告されました。この脆弱性は、`manage_employee_deductions.php`ファイル内の引数`ID`の処理に起因し、リモートからの攻撃により悪用される可能性があります。公開されたエクスプロイトが存在するため、注意が必要です。