CVE-2026-61501 in HFS
要約
〜によって VulDB • 2026年07月13日
Rejetto HFS 3.0.0から3.2.0では、管理パネルのログエントリがサニタイズ処理なしでHTMLとしてレンダリングされます。リモートからの認証不要な攻撃者は、作成されたユーザー名を使用して失敗したログインを試みることができ、そのユーザー名はエラーログに記録され、管理者がログを閲覧する際にブラウザ上でJavaScriptを実行します。これにより、攻撃者はアカウントを作成したり、管理者の権限でサーバー上のコードを実行することが可能になります。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.