変更履歴

May 18, 2026

• 新規electerm dependency advisory check. GitHub repo scans can now flag npm manifests and lockfiles that pin or allow electerm versions affected by CVE-2026-41500 / GHSA-wxw2-rwmh-vr8f, with version-based advisory evidence rather than exploit confirmation.
• 新規OpenCms dependency advisory check. GitHub repo scans can now flag Maven pom.xml files that pin or resolve org.opencms:opencms-core versions affected by CVE-2023-42344 / GHSA-rcc6-6q2f-m2cw, with version-based advisory evidence rather than XXE exploit confirmation.

May 17, 2026

• 新規FUXA hardcoded JWT secret check. Verified active scans can now confirm CVE-2025-69971 exposure on FUXA instances that still trust the vulnerable fallback JWT signing configuration.
• 新規CKAN DataStore SQL exposure check. Verified active scans can now confirm unauthenticated CKAN DataStore SQL access associated with CVE-2026-42031 and guide teams to patched CKAN release lines or safer DataStore configuration.

16 May 2026

• 新規PDF.js dependency advisory check. GitHub repo scans can now flag npm manifests and lockfiles that pin or allow pdfjs-dist versions affected by CVE-2024-4367 / GHSA-wgrm-67xf-hhpq.
• 新規Active scans via REST API and MCP. Active scans can now be triggered from REST and MCP against verified domains that have been explicitly authorized from the dashboard. Authorization is revocable at any time.
• 新規Safer authorization levels for active scans. Domain authorization now distinguishes safer automated active checks from deeper active testing, so teams can automate the right level of verification for each domain.
• 新規First-use webhook for API/MCP active scans. A webhook can notify teams the first time an API/MCP-triggered active scan runs against a newly authorized domain.
• 改善Improved Referrer-Policy findings. Missing or weak Referrer-Policy results now separate URL-referrer leakage from broad information exposure, show document-response evidence, and include generic plus static-host remediation guidance.
• 改善Improved Permissions-Policy findings. Missing or weak Permissions-Policy results now show feature-level evidence, separate broad feature allowlists from missing hardening, and include generic plus static-host remediation guidance for common hosts, proxies, and app servers.
• 改善Improved clickjacking header prompts. Missing X-Frame-Options findings now point agents to CSP frame-ancestors as the modern protection, add Vercel/static SPA header guidance, and verify x-frame-options with CSP.
• 改善CSP header evidence and fix prompts improved. Missing-CSP reports now include clearer hosting and response context plus safer framework-aware remediation guidance.
• 修正Vercel path-probe false positives reduced. FixVibe now requires stronger application-specific evidence before reporting exposed framework artifacts on deployments that rewrite unknown routes to the app shell.
• 修正コンプライアンス系の検出に誤解を招く CWE タグがつかなくなりました。legal-compliance チェックは以前、「プライバシーポリシー不在」「利用規約不在」の検出に CWE-359(PII 公開)を付けていましたが、これは実際のギャップを記述しません。これらの検出は CWE なしで出力されます — 分類可能なセキュリティ脆弱性ではなく、コンプライアンス項目だからです。

May 15, 2026

• 新規Additional research-informed checks. FixVibe shipped more coverage based on recent vulnerability research and mapped duplicate topics to existing scanner modules where coverage already existed.
• 新規リポジトリのシークレット漏洩チェック。 GitHub リポジトリのスキャンで、ソースにコミットされたハードコードされたプロバイダーキーや、シークレットらしい高エントロピー値を検出できるようになりました。証拠はマスクされ、標準の FixVibe ローテーションプロンプトが含まれます。
• 新規Vercel deployment protection check. Passive scans can now flag public *.vercel.app generated deployment URLs that respond without Vercel Deployment Protection, while existing header checks continue to audit CSP, HSTS, and browser hardening.

May 14, 2026

• 新規LiteLLM dependency advisory check. GitHub repo scans can now flag Python dependency files that pin or allow LiteLLM versions affected by CVE-2026-42208 / GHSA-r75f-5x8p-qvmc.
• 新規LibreNMS dependency advisory check. GitHub repo scans can now flag Composer manifests that pin or allow LibreNMS versions affected by CVE-2024-51092 / GHSA-x645-6pf9-xwxw.
• 改善Firebase rules detection improved. BaaS scans now detect more Firebase app shapes and use read-only evidence to identify risky public data exposure.

May 13, 2026

• 新規Repo Supabase RLS migration check. GitHub repo scans can now flag Supabase SQL migrations that create public tables without a matching ALTER TABLE ... ENABLE ROW LEVEL SECURITY statement.
• 新規Supabase Storage posture check. Passive scans can now review public Supabase Storage buckets and anonymous object-listing exposure alongside existing RLS and key checks.
• 新規AI-generated code guardrail check. GitHub repo scans can now flag missing security automation around code scanning, secret scanning, dependency updates, and AI-agent instructions.

May 12, 2026

• 新規Repo web-app risk checklist. GitHub repo scans can now flag high-confidence OWASP-style code risks such as raw SQL interpolation, unsafe HTML sinks, credentialed wildcard CORS, disabled TLS verification, and weak JWT secret fallbacks.
• 新規Next.js middleware-bypass check. Active scans for verified domains can now confirm CVE-2025-29927 exposure on middleware-protected routes before reporting it, and reports include the standard FixVibe AI fix prompt for remediation.

2026年5月9日

• セキュリティCross-origin scope hardening. Active scans and client-asset checks now stay within the authorized target scope and avoid carrying customer-provided credentials across cross-origin redirects.
• 修正Supabase RLS check is now strictly read-only. Supabase posture checks now avoid write attempts and focus on safe exposure signals. Verified-domain active testing remains the boundary for deeper confirmation.
• 改善セキュリティヘッダーの検出結果は、ルート HTML レスポンスにのみ適用されます。 204、JSON API、ファイルダウンロード、404 で CSP、Permissions-Policy、X-Frame-Options、Referrer-Policy が不足していても、検出結果は生成されなくなりました。HSTS と X-Content-Type-Options は引き続きすべてのレスポンスで評価されます。
• 改善Auth-flow and rate-limit checks now require stronger evidence. FixVibe now reports these issues only when the application behavior clearly supports the finding, reducing noise from generic error pages and unsupported methods.
• 改善File-upload findings tier by exploitability evidence. File-upload reports now separate low-confidence acceptance signals from stronger evidence of risky serving behavior, reducing over-severity on benign upload handlers.

2026年5月7日

• 修正Threat-intel listing accuracy improved. FixVibe now distinguishes real blocklist evidence from resolver diagnostics so threat-intel findings do not over-report on infrastructure-side lookup responses.
• 新規GitHub リポジトリスキャン。 リポジトリを接続すると、FixVibe はデプロイ済みサイトを読み込まずに、漏えいした Supabase service key、Firebase admin token、危険な workflow file、古い依存関係をソースからチェックします。スキャンの種類 を参照してください。
• 新規危険な JavaScript に対する SAST チェック。 リポジトリスキャンは new Function() と setTimeout("string") をフラグ付けするようになりました。どちらも信頼できない入力を与えると eval() と同等です。
• 修正Vercel / Cloudflare サイトでの誤った「公開ファイル」検出。 裸の 403 Forbidden レスポンスは「ファイルが存在する」として報告されなくなりました。多くの edge provider は、そのファイルが存在するかどうかに関係なく、怪しく見えるパスに 403 を返します。現在はフラグ付け前に正の HTTP シグナルを要求しています。
• 修正Repo-code false positives reduced. Repo scans now avoid flagging security terms in comments, documentation, test helpers, and clearly server-only contexts for several high-signal code checks.
• 修正localStorage 内の Supabase anon key は、JWT-in-storage の検出結果として報告されなくなりました。anon key は公開を意図したクライアントトークンです。ブラウザストレージ内の本物の service-role token は、より明確なタイトルで critical になります。
• 修正CSP weakness detection improved. Content-Security-Policy checks now catch more permissive source policies while keeping evidence and remediation focused on the effective browser policy.
• 修正Reflected-XSS check tightened. Active scans now require stronger reflection evidence before reporting executable-context risk, reducing false positives from unrelated markup on the page.
• 修正ドメイン検証は apex ↔ www リダイレクトを正しく扱うようになり、TXT レコードの Host フィールドに入れる値もより明確になりました。

形式

各エントリには、ざっと読めるようタグが付いています。

• 新規 新しいチェック、対象範囲、または機能です。
• 改善 既存の動作が改善されました。より正確に、速く、分かりやすくなっています。
• 修正 出荷後に見つけて修正したバグです。
• セキュリティ ハードニング、脆弱性修正、またはコンプライアンス変更です。

壊れているのにここに記録されていないものを見つけましたか？ support@fixvibe.app までメールしてください。