가장 최근에 발행된 취약점입니다.
Malicious code in @citi-icg-158830/icgds-react-css (npm)
Malicious code in @citi-icg-158830/elemental-ui-react (npm)
Malicious code in @citi-icg-158830/elemental-chameleon (npm)
Malicious code in netping (PyPI)
Quick.CMS 6.7 contains a cross-site scripting vulnerability in the sliders form that allows authenticated attackers to inject malicious scripts by submitting XSS payloads through the sDescription parameter. Attackers can craft CSRF forms targeting the admin.php?p=sliders-form endpoint to execute arbitrary JavaScript in victim browsers when the form is submitted.
Fuel CMS 1.4.13 contains a blind SQL injection vulnerability that allows authenticated attackers to manipulate database queries by injecting SQL code through the 'col' parameter in the Activity Log interface. Attackers can send requests to the logs endpoint with malicious SQL payloads in the 'col' parameter to extract database information based on response time delays.
공격에 활용되고 있는 것이 확인된 취약점입니다.
Microsoft Exchange Server에서 웹 페이지 생성('교차 사이트 스크립팅') 중 입력을 부적절하게 무력화하면 무단 공격자가 네트워크를 통해 스푸핑을 수행할 수 있습니다.
2026년 5월: 이 보안 권고는 2026년 2월 공개된 이후 발견되어 수정된 취약점에 대한 세부 정보 및 수정 정보를 제공합니다. 이 새 권고는 제어 연결 핸드셰이킹의 새로운 취약점에 대한 것입니다. 이 권고의 섹션에는 시스템 검사에 도움이 되는 제어 연결 표시 지침이 포함되어 있습니다. Cisco Catalyst SD-WAN Controller(이전 SD-WAN vSmart) 및 Cisco Catalyst SD-WAN Manage의 피어링 인증 취약점
버전 22.2R1 또는 22.7R2 이외의 Ivanti vTM에서 인증 알고리즘을 잘못 구현하면 인증되지 않은 원격 공격자가 관리자 패널의 인증을 우회할 수 있습니다.
Fortinet FortiAnalyzer 7.6.0~7.6.5, FortiAnalyzer 7.4.0~7.4.9, FortiAnalyzer 7.2.0~7.2.11, FortiAnalyzer 7.0.0~7.0.15, FortiManager 7.6.0의 대체 경로 또는 채널을 사용한 인증 우회 취약성[CWE-288] 7.6.5~7.6.5, FortiManager 7.4.0~7.4.9, FortiManager 7.2.0~7.2.11, FortiManager 7.0.0~7.0.15, FortiOS 7.6.0~7.6.5, FortiOS 7.4.0~7.4.10, FortiOS 7.2.0~7.2.12, FortiOS 7.0.0부터
risk_score 내림차순, CRITICAL · HIGH 만 표시.
2026년 5월: 이 보안 권고는 2026년 2월 공개된 이후 발견되어 수정된 취약점에 대한 세부 정보 및 수정 정보를 제공합니다. 이 새 권고는 제어 연결 핸드셰이킹의 새로운 취약점에 대한 것입니다. 이 권고의 섹션에는 시스템 검사에 도움이 되는 제어 연결 표시 지침이 포함되어 있습니다. Cisco Catalyst SD-WAN Controller(이전 SD-WAN vSmart) 및 Cisco Catalyst SD-WAN Manage의 피어링 인증 취약점
Microsoft Exchange Server에서 웹 페이지 생성('교차 사이트 스크립팅') 중 입력을 부적절하게 무력화하면 무단 공격자가 네트워크를 통해 스푸핑을 수행할 수 있습니다.
vm2는 Node.js용 오픈 소스 vm/sandbox입니다. 3.11.3 이전에는 비동기 생성기 내에서 Yield* 표현식을 사용하여 호스트 예외를 포착할 수 있었습니다. 반환 함수를 사용하여 생성기가 닫히면 값이 대기되고 then 호출에서 발생한 예외가 런타임에 의해 포착되어 다음 값으로 Yield* 반복자에 전달됩니다. 이를 통해 공격자는 VM2 샌드박스에서 벗어날 수 있는 코드를 작성하고 호스트 시스템에서 임의의 명령을 실행할 수 있습니다. 이 취약성
Langflow는 AI 기반 에이전트와 워크플로를 구축하고 배포하기 위한 도구입니다. 1.9.0 이전에는 Langflow가 Knowledge Bases API(DELETE /api/v1/knowledge_bases)의 경로 탐색에 취약합니다. 이는 사용자가 제공한 기술 자료 이름이 적절한 정리 또는 경계 검증 없이 파일 경로에 직접 연결되기 때문에 발생합니다. 인증된 공격자는 이 결함을 악용하여 서버 파일 시스템의 임의 디렉터리를 삭제할 수 있으며 이로 인해 데이터가 손실되고 잠재적인 보안 침해가 발생할 수 있습니다.
Palo Alto Networks PAN-OS 소프트웨어의 User-ID™ 인증 포털(일명 Captive Portal) 서비스의 버퍼 오버플로 취약점으로 인해 인증되지 않은 공격자가 특별히 제작된 패킷을 전송하여 PA 시리즈 및 VM 시리즈 방화벽에서 루트 권한으로 임의 코드를 실행할 수 있습니다. 모범 사례 지침 https://knowledgebase.paloaltonetworks.com/KCSArticleDetail by r에 따라 User-ID™ 인증 포털에 대한 액세스를 보호하면 이 문제의 위험이 크게 줄어듭니다.
Linux 커널에서는 다음 취약점이 해결되었습니다. HID: 코어: 보고서 버퍼를 0으로 초기화합니다. 리포트 버퍼는 모든 종류의 드라이버가 다양한 방법으로 사용하므로 할당 중에 0으로 초기화하여 사용할 수 없도록 하세요. 특별히 제작된 보고서를 통해 커널 메모리를 누출합니다.
2026년 5월 11일 약 19:20에서 19:26 UTC 사이에 42개의 @tanstack/* 패키지에 걸쳐 84개의 악성 버전이 npm 레지스트리에 게시되었습니다. 게시는 TanStack/라우터에 대한 합법적인 GitHub Actions OIDC 신뢰할 수 있는 게시자 바인딩을 통해 인증되었지만 게시 워크플로 자체는 수정되지 않았습니다. 공격자는 세 가지 알려진 취약점 클래스를 연결했습니다. 즉, pull_request_target "Pwn 요청" 잘못된 구성, 포크 ← 기본 신뢰 경계를 가로지르는 GitHub Actions 캐시 중독, r
FileBrowser Quantum은 무료 자체 호스팅 웹 기반 파일 관리자입니다. 1.3.1-stable 및 1.3.9-beta 이전에는 공격자가 제어하는 경로 입력이 삭제되기 전에 신뢰할 수 있는 기본 경로와 결합되어 순회 시퀀스(예: ../)가 의도한 공유 디렉터리를 벗어날 수 있었습니다. 결과적으로 삭제 권한이 활성화된 유효한 공개 공유 해시를 소유한 인증되지 않은 공격자는 공유 소유자가 구성한 저장소 범위 내의 공유 디렉터리 외부에 있는 임의 파일을 삭제할 수 있습니다. 이