FixVibe

// docs / changelog

変更履歴

FixVibe スキャン エンジンの更新: 新しい範囲、安全性の向上、精度の向上。最新のエントリが最初です。

2026-07-02

  • 修正Legal-link false positives reduced. Privacy and terms links that are visible after client-side rendering now count correctly, so SPA footers are not reported as missing when users can see those links.

2026年6月30日

  • 新規Label Studio CVE-2025-47783 reflected XSS check. Verified active scans now flag Label Studio upload-example responses when target-specific label_config evidence shows raw HTML metacharacter reflection, without executing JavaScript, using victim sessions, reading tokens, or storing project data.
  • 新規AVideo CVE-2023-25313 / GHSA-pgvh-p3g4-86jw advisory. Repo scans flag affected wwbn/avideo Composer manifests and lockfiles below 12.4 with version-based evidence only; no AVideo login, video-link submission, video creation, request-delay checks, command execution, or runtime exploit claim.
  • 新規GL.iNet GL-MT3000 CVE-2026-11451 advisory. Verified active scans flag GL.iNet GL-MT3000 firmware 4.4.5 as version-based advisory evidence only; no router authentication, FTP-setting changes, file writes, command input, or command-execution claim.
  • 改善Schneider Modicon M221 のリモート再起動カバレッジ。 既存のパッシブな Modicon M221 ファームウェアチェックは、強い公開 HTTP の製品情報とファームウェアバージョン証拠を CVE-2018-7790 に加えて CVE-2018-7789 とも関連付けるようになりました。再起動プローブ、Modbus 照会、認証リプレイ、PLC プログラムのアップロード、または悪用確認の主張は行わず、バージョンベースのアドバイザリとして報告します。
  • 新規Mbed TLS CVE-2024-45159 repo advisory coverage. GitHub repo scans now flag source and build metadata for affected Mbed TLS 3.2.0 through 3.6.0 releases, reporting version-based advisory evidence without client-certificate probes, TLS handshake testing, or authentication-bypass confirmation.
  • 新規Oracle Java SE/GraalVM CVE-2022-21340 repo advisory coverage. GitHub repo scans now flag explicit Oracle Java SE or Oracle GraalVM Enterprise runtime metadata, reporting version-based advisory evidence without running Java, sandbox-code proof, denial-of-service traffic, or runtime exploit confirmation.
  • 新規OpenSSL CMS CVE-2025-15467 advisory. GitHub repo scans now flag affected OpenSSL CMS release-line evidence and report branch-aware source/config evidence without crash, denial-of-service, or code-execution reproduction.
  • 新規codfish semantic-release GitHub Action compromise check. Repo scans can now flag workflow YAML references to codfish/semantic-release-action refs associated with the June 2026 compromise, reporting source/config evidence only. The check does not run GitHub Actions, read CI secrets, inspect runners, or claim credential theft.
  • 新規Spring Data Commons property-path advisory coverage. GitHub repo scans now report Maven/Gradle dependency evidence for Spring Data Commons versions associated with CVE-2018-1274 / GHSA-5q8m-mqmx-pxp9. The finding stays version-based and does not run the app, probe Spring Data REST endpoints, send crafted property-path parameters, stress CPU or memory, or claim denial-of-service confirmation.
  • 新規vm2 Promise species advisory coverage. GitHub repo scans now report npm manifest and lockfile evidence for vm2 versions associated with CVE-2026-47208 / GHSA-76w7-j9cq-rx2j. The finding stays version-based and does not run the app, execute sandbox-breakout proof-of-concept code, inspect live workers, or claim host command execution.
  • 新規pyLoad /flashgot advisory coverage. GitHub repo scans now report Python manifest and lockfile evidence for pyload-ng versions associated with CVE-2024-47821 / GHSA-w7hq-f2pj-c53g. The finding stays version-based and does not run pyLoad, send /flashgot requests, change settings, download files, write script directories, or claim command execution.
  • 新規SAP Cloud SDK for AI Python advisory check. GitHub repo scans now flag Python manifest and lockfile evidence for sap-ai-sdk-base versions affected by CVE-2023-25617 / GHSA-xxhh-59gh-6ffx as version-based advisory evidence, without running Python, connecting to SAP BusinessObjects, scheduling Program Objects, sending command-injection input, or claiming OS command execution.
  • 新規Gradio Windows/Python path traversal advisory check. GitHub repo scans now flag Gradio dependency evidence for CVE-2026-28414 / GHSA-39mp-8hj3-5c49 and raise confidence when repository configuration also points to Windows with Python 3.13+, without requesting Gradio file endpoints, sending traversal input, reading files, or claiming live arbitrary file read.

29 Jun 2026

  • 新規MISP STIX import source advisory coverage. GitHub repo scans now report source evidence for CVE-2018-19908 in app/Model/Event.php when original STIX filenames flow into shell command construction. The check uses repository source evidence and does not run MISP, import files, or claim runtime command execution.
  • 新規MindsDB status version advisory coverage. Verified active scans now include MindsDB /api/status version evidence for CVE-2026-27483 when the public status endpoint reports a release before 25.9.1.1. This read-only check does not upload files, send traversal filenames, or claim remote-code execution.
  • 新規NiceGUI upload filename source advisory check. GitHub repo scans now include CVE-2026-25732 coverage when affected NiceGUI dependency evidence appears with upload-handler source that saves paths built from client-supplied filenames. The check reports source/dependency evidence without uploading files, writing outside upload directories, or claiming code execution.

June 18, 2026

  • 新規SillyTavern SearXNG SSRF active check. Verified active scans now report only direct evidence that a SillyTavern SearXNG search proxy fetched a FixVibe-controlled external callback URL. The probe avoids localhost, cloud metadata, private-network targets, and internal-service requests.
  • 新規認証なしの Glances REST API 露出チェック。 検証済みのアクティブスキャンで、スキャン対象の origin が認証なしに Glances REST API の識別情報とメトリック形状のレスポンスを公開しているか確認できるようになりました。FixVibe はレスポンス形状だけを記録し、広範な API ダンプ、プロセス一覧、コマンドライン、設定、シークレットの収集は避けます。
  • 新規Spring Data Commons + XMLBeam advisory coverage. GitHub repo scans now report paired Maven/Gradle dependency evidence for Spring Data Commons and XMLBeam versions associated with CVE-2018-1259 / GHSA-m929-7fr6-cvjg. The finding stays version-based and does not run the app, send XML payloads, probe endpoints, read local files, or claim SSRF confirmation.
  • 新規Moby AuthZ 依存関係アドバイザリーチェック。 GitHub リポジトリスキャンは、CVE-2026-34040 / GHSA-x744-4wpc-v9h2 の影響を受ける Moby または Docker Engine バージョンに解決される Go モジュールマニフェストを、Docker APIs への接続、AuthZ プラグインの調査、細工したリクエスト送信、認可バイパス確認の主張なしに、バージョンベースの証拠として報告できます。
  • 新規NGINX rewrite-module config advisory check. GitHub repo scans can now correlate affected NGINX version evidence with rewrite-module configuration evidence for CVE-2026-42945, without running NGINX, sending traffic, or claiming memory-corruption proof.
  • 新規SQLitePCLRaw NuGet advisory check. GitHub repo scans can now flag .NET project and NuGet lockfile evidence for affected SQLitePCLRaw native SQLite packages tied to CVE-2025-6965 / GHSA-2m69-gcr7-jv3q, without claiming memory-corruption proof.
  • 新規gemini-mcp-tool CVE-2026-0755 advisory. Repo scans flag affected npm manifest and lockfile versions for GHSA-4h5r-5jm8-jxjm with repository version evidence only. The check does not run the MCP server, send command or @file probes, trigger callbacks, read local files, or assert runtime exploit confirmation.
  • 新規Mastra easy-day-js advisory check. GitHub repo scans flag easy-day-js manifest and lockfile evidence tied to the June 2026 Mastra npm incident. The finding stays limited to repository dependency evidence and does not verify stale npm owners, run package scripts, inspect hosts, or assert credential theft.
  • 新規Drupal Core CVE-2026-9082 advisory check. GitHub repo scans flag Composer manifest and lockfile versions for GHSA-ghwc-95x2-682j with repository version evidence only. The check does not run Drupal, verify PostgreSQL, send SQL payloads, extract data, or assert runtime exploit confirmation.
  • 新規Paramiko SSH-server authentication advisory check. GitHub repo scans can now flag Python dependency files that resolve Paramiko releases affected by CVE-2018-7750 / GHSA-232r-66cg-79px, reporting version-based advisory evidence without starting an SSH server, sending bypass traffic, or claiming deployed server-mode exposure.
  • 新規Apache Tomcat HTTP/2 resource-consumption dependency advisory check. GitHub repo scans can now flag Maven and Gradle build files that resolve Tomcat releases affected by CVE-2020-11996 / GHSA-53hp-jpwq-2jgq, reporting version-based advisory evidence without running Tomcat, sending HTTP/2 denial-of-service traffic, generating high-CPU proof traffic, or claiming runtime availability impact.
  • 新規@andrei-tatar/nora-firebase-common prototype-pollution advisory check. GitHub repo scans can now flag npm manifests and lockfiles that resolve @andrei-tatar/nora-firebase-common versions affected by CVE-2024-30564 / GHSA-jjff-q3q4-5hh8, reporting version-based advisory evidence without running the package, mutating Object.prototype, sending proof payloads, or claiming runtime exploit confirmation.
  • 新規cordova-plugin-inappbrowser Android advisory check. GitHub repo scans can now flag npm manifests, lockfiles, and Cordova config.xml files that resolve cordova-plugin-inappbrowser versions affected by CVE-2019-0219 / GHSA-c6pw-q7f2-97hv, reporting version-based advisory evidence without building mobile binaries, loading proof content, exercising plugin bridge behavior, or claiming deployed Android exploitability.
  • 新規Nokogiri libxslt RubyGems advisory coverage. GitHub repo scans now report Gemfile, Gemfile.lock, and gemspec evidence for Nokogiri releases affected by CVE-2019-18197 / GHSA-242x-7cm6-4w8j. The check uses version-based RubyGems evidence and does not run Ruby, process XML or XSLT input, crash-test libxslt, or claim runtime exploit confirmation.
  • 新規Perl GD CPAN advisory coverage. GitHub repo scans now report CPAN dependency evidence for Perl GD releases affected by CVE-2026-11526. The check uses version-based repository evidence and does not run Perl, process image files, pass crafted filenames to GD::Image constructors, or claim command-execution or file-overwrite confirmation.
  • 新規kill-port-process CVE-2019-15609 advisory check. GitHub repo scans flag affected npm manifest and lockfile versions for GHSA-xp4x-j9vh-c3wf, reporting version evidence only. The check does not run the package, send command payloads, terminate processes, or assert runtime exploit confirmation.
  • 新規proxy npm advisory coverage. GitHub repo scans can now report repository dependency evidence for proxy releases associated with CVE-2023-2968 / GHSA-mj6p-3pc9-wf5m. The finding stays version-based and does not run proxy, send crafted request traffic, crash-test services, or claim runtime denial-of-service confirmation.
  • 新規Apache ActiveMQ Artemis Jolokia dependency advisory check. GitHub repo scans can now flag Maven and Gradle build files that resolve org.apache.activemq:artemis-cli versions affected by CVE-2023-50780 / GHSA-443j-grxv-2pgv, reporting version-based advisory evidence without authenticating to Jolokia, enumerating MBeans, changing Log4J2 configuration, writing files, restarting services, or claiming live RCE confirmation.
  • 新規Apache ActiveMQ Artemis dependency advisory check. GitHub repo scans can now flag Maven and Gradle build files that pin or allow artemis-server versions affected by CVE-2026-27446 / GHSA-fw88-pf9m-p947, reporting version-based advisory evidence without connecting to brokers, triggering federation callbacks, or claiming message injection/exfiltration confirmation.
  • 新規Apache Spark UI dependency advisory check. GitHub repo scans can now flag Maven, Gradle, and PySpark dependency files that pin or allow Apache Spark versions affected by CVE-2022-33891 / GHSA-4x9r-j582-cgr8, reporting version-based advisory evidence without visiting Spark UI, sending active exploit probes, or claiming command-execution confirmation.
  • 新規vLLM pickle-deserialization dependency advisory check. GitHub repo scans can now flag Python dependency files that pin or allow vllm versions affected by CVE-2024-9053 / GHSA-cj47-qj6g-x7r4, reporting version-based advisory evidence without running vLLM, exposing AsyncEngineRPCServer, sending pickle payloads, or claiming runtime code-execution confirmation.
  • 新規Apache Airflow example-DAG advisory coverage. GitHub repo scans can now report repository dependency evidence for Airflow releases associated with CVE-2024-45498 / GHSA-c392-whpc-vfpr. The finding stays version-based and does not probe Airflow UI, trigger DAGs, run command payloads, or claim runtime exploit confirmation.
  • 新規ONNX download_model_with_test_data advisory coverage. GitHub repo scans now report Python dependency evidence for onnx releases affected by CVE-2024-5187 / GHSA-6rq9-53c3-f7vj and add source-call context when download_model_with_test_data appears. The check does not run Python, download or extract model archives, create malicious tar files, overwrite files, or claim runtime exploit confirmation.
  • 新規YOURLS type-juggling dependency advisory check. GitHub repo scans can now flag Composer and YOURLS source-version evidence for yourls/yourls releases affected by CVE-2019-14537 / GHSA-vf23-f26f-mjj9, reporting version-based advisory evidence without calling the YOURLS API, sending authentication-bypass requests, probing admin pages, or claiming unauthorized access.
  • 新規http4k-format-xml dependency advisory check. GitHub repo scans can now flag Maven and Gradle build files that resolve org.http4k:http4k-format-xml versions affected by CVE-2024-55875 / GHSA-7mj5-hjjj-8rgw, reporting version-based advisory evidence without sending XML payloads, SSRF callbacks, local-file reads, or denial-of-service traffic.

June 14, 2026

  • 修正DOM XSS fragment probe stability fix. Verified active scans now skip the DOM fragment probe cleanly when browser automation is unavailable at startup, so reports no longer show internal browser-context errors for that check.
  • 改善Expanded Red Hat npm worm coverage. GitHub repo scans now include additional Wiz-reported @redhat-cloud-services package versions for the Miasma campaign, while still reporting repository dependency evidence without installing packages, executing lifecycle scripts, or claiming credential theft.
  • 新規Known npm typosquat package check. GitHub repo scans can now flag package manifests and lockfiles that resolve Microsoft-reported vpmdhaj npm typosquat package versions, reporting version-based advisory evidence without installing packages, executing lifecycle scripts, fetching tarballs, contacting attacker infrastructure, or claiming credential theft.
  • 新規Codex Remote UI token-stealing npm package check. GitHub repo scans can now flag package manifests and lockfiles that resolve codexui-android 0.1.82 or newer, reporting version-based advisory evidence without installing the package, executing it, reading Codex auth files, contacting exfiltration infrastructure, or claiming token theft.
  • 新規Claude Code GitHub Action workflow repo check. GitHub repo scans can now flag Claude Code Action workflows with mutable action refs, broad workflow token permissions, or risky access override inputs, reporting workflow YAML evidence without running Actions, executing Claude Code, reading CI secrets, or claiming prompt-injection exploitation.
  • 新規onering Rust crate malware repo check. GitHub repo scans can now flag Cargo manifests or lockfiles that resolve onering 1.4.1 or the known compromised onering git commit, and can flag matching checked-in build.rs evidence, without running Cargo, executing build scripts, fetching crates, or claiming source exfiltration.
  • 新規Node-gyp / Phantom Gyp npm worm repo check. GitHub repo scans can now flag package manifests or lockfiles that resolve known malicious npm package versions from the binding.gyp supply-chain campaign, or flag matching binding.gyp source evidence, without running npm install, executing node-gyp, downloading tarballs, or claiming credential theft.

June 11, 2026

  • 改善Moxa NPort authentication advisory coverage. The existing verified-active Moxa NPort firmware check now correlates the same strong HTTP model and firmware evidence with CVE-2016-9361 as part of the MCSA-160401 advisory family, while still reporting a version-based advisory without attempting password retries, brute-force checks, firmware uploads, unauthenticated administrative actions, SNMP queries, serial-device protocol probes, crash tests, or exploit confirmation.
  • 改善Moxa NPort unauthenticated firmware-update advisory coverage. The existing verified-active Moxa NPort firmware check now correlates the same strong HTTP model and firmware evidence with CVE-2016-9369 as part of the MCSA-160401 advisory family, while still reporting a version-based advisory without attempting firmware uploads, unauthenticated administrative actions, SNMP queries, serial-device protocol probes, crash tests, or exploit confirmation.
  • 新規Schneider Modicon M221 firmware advisory check. Passive scans can now flag strong public HTTP product and firmware-version evidence for Modicon M221 controllers associated with CVE-2018-7790, reporting version-based advisory context without capturing credentials, replaying authentication, querying Modbus, uploading PLC programs, or claiming unauthorized-access confirmation.
  • 新規Langflow CVE-2025-34291 CORS advisory check. Verified active scans can now flag affected Langflow instances when target-specific version evidence is paired with credentialed CORS origin reflection, without authenticating, reading tokens, triggering refresh flows, or claiming code-execution confirmation.
  • 新規SiteOmat BOS version advisory check. Verified active scans can now flag public SiteOmat BOS version evidence associated with CVE-2017-14728 as a version-based advisory, without attempting default credentials, SSH login, broad port scans, state-changing management actions, or unauthorized access.
  • 新規SiteOmat login SQL injection advisory check. Verified active scans can now flag public SiteOmat BOS version evidence associated with CVE-2017-14851 as a version-based advisory, without submitting login forms, sending SQL injection payloads, attempting authentication bypass, accessing post-login pages, or making state-changing management requests.
  • 新規SiteOmat CGI buffer-overflow advisory check. Verified active scans can now flag public SiteOmat BOS version evidence associated with CVE-2017-14854 as a version-based advisory, without sending crafted CGI input, overflow payloads, crash tests, broad port scans, state-changing management actions, or exploit requests.
  • 新規Kubernetes externalIPs manifest advisory check. GitHub repo scans can now flag Kubernetes Service manifests that declare non-empty spec.externalIPs as source/config hardening evidence for CVE-2020-8554, without inspecting live clusters, checking RBAC, sending traffic, or claiming traffic interception.
  • 新規Apache Tomcat EncryptInterceptor dependency advisory check. GitHub repo scans can now flag Maven and Gradle files that resolve exact Tomcat releases associated with CVE-2026-34486 / GHSA-69r9-qgr7-g2wj, reporting version-based advisory evidence without running Tomcat, inspecting cluster traffic, sending crafted Tribes packets, or claiming plaintext-disclosure confirmation.
  • 新規Apache Tomcat h2c request mix-up dependency advisory check. GitHub repo scans can now flag Maven and Gradle files that resolve Tomcat embedded-core or Coyote versions affected by CVE-2021-25122 / GHSA-j39c-c8hj-x4j3, reporting version-based advisory evidence without running Tomcat, sending h2c upgrade requests, capturing traffic, or claiming information-disclosure confirmation.
  • 新規PickleScan ZIP CRC dependency advisory check. GitHub repo scans can now flag Python dependency files that pin or allow PickleScan versions affected by CVE-2025-10156 / GHSA-mjqp-26hc-grxg, reporting version-based advisory evidence without running PickleScan, creating corrupted archives, loading models, or claiming runtime code-execution confirmation.
  • 新規NLTK Zip Slip dependency advisory check. GitHub repo scans can now flag Python dependency files that pin or allow NLTK versions affected by CVE-2025-14009 / GHSA-7p94-766c-hgjp, reporting version-based advisory evidence without running Python or NLTK, calling nltk.download(), extracting packages, creating malicious archives, or claiming runtime code-execution confirmation.
  • 新規TanStack ArkType adapter malware dependency check. GitHub repo scans can now flag package manifests and lockfiles that resolve @tanstack/arktype-adapter to malicious versions 1.166.12 or 1.166.15 from CVE-2026-45321 / GHSA-g7cv-rxg3-hmpx, reporting version-based advisory evidence without running npm install, executing lifecycle scripts, downloading tarballs, or claiming credential theft.
  • 新規Mbed TLS CVE-2021-44732 repo advisory check. GitHub repo scans can now flag source and build metadata that identify Mbed TLS versions affected by CVE-2021-44732, reporting version-based advisory evidence without running Mbed TLS, forcing out-of-memory behavior, calling session-copy APIs, or claiming live double-free confirmation.
  • 新規IIS TRACK method exposure check. Verified active scans can now flag legacy TRACK echo behavior associated with CVE-2003-1567 using non-sensitive request evidence, without sending cookies, credentials, browser exploit pages, user traffic, or state-changing requests.
  • 新規Red Hat npm worm dependency advisory check. GitHub repo scans can now flag package manifests and lockfiles that resolve known compromised @redhat-cloud-services npm versions associated with the credential-stealing worm campaign, reporting dependency evidence without executing install scripts or claiming credential theft.
  • 新規DICOM executable preamble check. GitHub repo scans can now flag committed DICOM files whose Part 10 preamble carries executable-file evidence, reporting static file evidence without executing the file or claiming production compromise.

June 10, 2026

  • 新規Mbed TLS CVE-2023-45199 repo advisory check. GitHub repo scans can now flag source and build metadata that identify Mbed TLS 3.2.x through 3.4.x, reporting version-based advisory evidence without sending TLS handshake payloads or claiming live memory corruption.
  • 新規Rockwell MicroLogix 1100 advisory fingerprint. Passive scans can now flag strong public HTTP evidence of a Rockwell Automation MicroLogix 1100 controller associated with CVE-2021-33012, reporting advisory context without sending industrial protocol commands or claiming denial-of-service behavior.
  • 新規Moxa NPort firmware advisory check. Verified active scans can now flag public HTTP model and firmware-version evidence for Moxa NPort devices associated with CVE-2016-9363, reporting version-based advisory context without sending crafted packets, querying SNMP, testing serial-device services, or claiming exploit confirmation.
  • 新規Rockwell MicroLogix 1100 authentication-attempt advisory check. Verified active scans can now flag public HTTP model and firmware evidence for MicroLogix 1100 controllers associated with CVE-2017-7898, reporting version-based advisory context without attempting logins, brute force, or industrial protocol probes.
  • 新規Log4j 1.2 JDBCAppender advisory check. GitHub repo scans can now flag Log4j 1.2 dependency evidence paired with JDBCAppender SQL configuration for CVE-2022-23305 / GHSA-65fg-84f6-3jq3, reporting repository/config evidence without executing SQL, writing log events, or claiming runtime database compromise.
  • 新規Log4j 1.2 JMSAppender advisory check. GitHub repo scans can now flag Log4j 1.2 dependency evidence paired with JMSAppender configuration for CVE-2021-4104 / GHSA-fp5r-v3w9-4333, reporting repository/config evidence without contacting JNDI or JMS services or claiming runtime exploit confirmation.
  • 新規Microsoft ATL MS09-035 source advisory check. GitHub repo scans can now flag legacy Visual C++ ATL project metadata paired with ATL source usage associated with CVE-2009-0901/CVE-2009-2493/CVE-2009-2495, reporting source/build advisory evidence without inspecting build machines, sending malformed streams, probing information disclosure, or claiming live code-execution confirmation.
  • 新規Langflow CVE-2026-33017 version advisory check. Verified active scans can now flag public Langflow version evidence for CVE-2026-33017 / GHSA-vwmf-pq79-vjvx as a version-based advisory, without submitting flow data, building flows, executing code, or claiming public-flow exploit confirmation.
  • 新規Keras CVE-2025-1550 dependency advisory check. GitHub repo scans can now flag Python dependency files that pin or allow Keras versions affected by CVE-2025-1550 / GHSA-48g7-3x6r-xfhp, reporting version-based advisory evidence without loading model archives, generating payloads, or claiming runtime code-execution confirmation.
  • 新規TLS RC4 negotiation advisory check. Verified active scans can now flag TLS endpoints that still select RC4 cipher suites associated with CVE-2015-2808, reporting confirmed RC4 support without capturing traffic or claiming plaintext recovery.
  • 新規TLS Sweet32 DES/3DES advisory check. Verified active scans can now flag TLS endpoints that still select DES or 3DES 64-bit block cipher suites associated with CVE-2016-2183, reporting confirmed cipher negotiation without capturing traffic or claiming plaintext recovery.
  • 新規Schneider PowerLogic EGX advisory check. Verified active scans can now flag public PowerLogic EGX100 firmware or EGX300 product evidence associated with CVE-2021-22765/CVE-2021-22767/CVE-2021-22768, reporting product/firmware advisory context without sending crafted HTTP packets, querying industrial protocols, crash-testing gateways, or claiming exploit confirmation.

May 27, 2026

  • 新規Arcserve UDP CVE-2025-34523 version advisory check. Verified active scans can now flag public Arcserve UDP version evidence for CVE-2025-34523 as a version-based advisory, without sending crafted heap-overflow input, crash-testing the service, authenticating to the console, or claiming command execution.
  • 新規Liferay Portal CVE-2010-5327 version advisory check. Verified active scans can now flag public Liferay Portal version evidence for CVE-2010-5327 as a version-based advisory, without authenticating, editing templates, sending template payloads, or claiming command execution.
  • 新規ws excessive-header DoS dependency advisory check. GitHub repo scans can now flag npm manifests and lockfiles that resolve ws versions affected by CVE-2024-37890 / GHSA-3h5v-q93c-6h6q, reporting version-based advisory evidence without sending denial-of-service traffic or claiming runtime WebSocket exposure.

May 25, 2026

  • 改善SPIP version advisory wording. Passive SPIP version findings now distinguish version-fingerprint advisory evidence for CVE-2016-7980 and CVE-2016-7998 from runtime exploit proof, without active CSRF, local-file validation, or template-execution reproduction.
  • 修正Active scan reliability and SSTI accuracy fix. Active scans now safely store response-derived evidence that contains unsupported control characters, and SSTI reporting requires stronger target-specific template-evaluation evidence instead of common page or static-asset content.

May 24, 2026

  • 新規WebdriverIO BrowserStack service dependency advisory check. GitHub repo scans can now flag npm manifests and lockfiles that resolve @wdio/browserstack-service versions affected by CVE-2026-25244 / GHSA-5c46-x3qw-q7j7, reporting version-based advisory evidence without running WebdriverIO, starting BrowserStack Local, or using command payloads.
  • 新規WordPress REST API user-exposure check. Verified active scans can now report WordPress REST users endpoints that return public user slugs to unauthenticated clients, with medium-severity exposure wording that does not claim WordPress version proof or account compromise.
  • 新規Django CSRF dependency advisory check. GitHub repo scans can now flag Python dependency files that pin or allow Django versions affected by CVE-2011-0696 / GHSA-5j2h-h5hg-3wf8, reporting version-based advisory evidence without running Django, probing state-changing routes, or claiming runtime CSRF exploitability.
  • 新規TMT Lockcell SQL injection active check. Verified active scans can now report TMT Lockcell login surfaces whose responses change consistently with CVE-2023-3047, using a bounded login-response comparison that does not run timing delays, follow authenticated redirects, or extract database data.
  • 新規OpenSSL PowerPC Poly1305 advisory check. GitHub repo scans can now correlate affected OpenSSL 3.x version evidence with PowerPC build/deployment evidence for CVE-2023-6129, reporting version-and-architecture advisory evidence without reproducing state corruption or denial-of-service behavior.

May 23, 2026

  • 新規electerm の認証なしコマンド実行アドバイザリチェック。 GitHub リポジトリスキャンで、CVE-2020-23256 / GHSA-x73w-g8hx-v7rp の影響を受ける electerm バージョンを固定または許可している npm マニフェストおよびロックファイルをフラグできるようになりました。electerm サービスへのプローブや起動は行わず、結果をバージョンベースのアドバイザリとして報告します。
  • 新規SaltStack Salt の依存関係アドバイザリチェック。 GitHub リポジトリスキャンで、CVE-2017-12791 / GHSA-xxvj-8g5m-4qgw の影響を受ける Salt バージョンの Python 依存関係の証拠をフラグできるようになりました。Salt master のハンドシェイクをプローブせずに、バージョンベースのアドバイザリとして報告します。
  • 新規rclone RC fsinfo 公開チェック。 検証済みのアクティブスキャンで、CVE-2026-41179 / GHSA-jfwf-28xr-xw6q に関連する rclone Remote Control の認証なし fsinfo 公開を確認できるようになりました。コマンド実行を伴わず、制限されたメタデータ証拠を使用します。
  • 新規Apache Tomcat セッション永続化アドバイザリチェック。 GitHub リポジトリスキャンで、CVE-2020-9484 / GHSA-344f-f5vg-2jfj の影響を受ける Tomcat バージョンを解決する Maven および Gradle のビルドファイルをフラグできるようになりました。リポジトリ設定で FileStore ベースの PersistentManager セッション永続化も確認できる場合は、検出結果を強化します。
  • 新規Note Mark dependency advisory check. GitHub repo scans can now flag Go manifests that resolve Note Mark backend versions affected by CVE-2026-44522 / GHSA-g49p-4qxj-88v3, reporting the result as a version-based advisory without uploading files, triggering exports, or claiming live RCE confirmation.

2026 年 5 月 20 日

  • 新規Gogs dependency advisory check. GitHub リポジトリ スキャンでは、パストラバーサルの確認ではなくバージョンベースの助言証拠を使用して、影響を受ける Gogs バージョンを CVE-2018-20303 / GHSA-9hxg-w7qf-hh93 に固定する Go マニフェストにフラグを立てることができるようになりました。
  • 新規deephas prototype-pollution advisory check. GitHub リポジトリ スキャンでは、実行時のプロトタイプ汚染の確認ではなく、バージョンベースの助言証拠を使用して、CVE-2020-28271 / GHSA-4fr2-j4g9-mppf の影響を受ける deephas バージョンを解決する npm マニフェストとロックファイルにフラグを立てることができるようになりました。
  • 新規OpenSSL TLSv1.3 session advisory check. GitHub リポジトリ スキャンでは、影響を受ける OpenSSL バージョンの証拠を CVE-2024-2511 の TLSv1.3 セッション構成の証拠と関連付けることができ、サービス拒否のライブ確認ではなく中程度の信頼度のソース/config の証拠を報告します。

2026 年 5 月 19 日

  • 改善electerm Linux install-script coverage. electerm の依存関係に関するアドバイザリには、既存の macOS インストール スクリプト アドバイザリに加えて CVE-2026-41501 / GHSA-8x35-hph8-37hq が含まれるようになり、エクスプロイトの確認ではなく、npm マニフェストとロックファイルの証拠に調査範囲が限定されています。
  • 新規GeniXCMS author-route SQL injection check. 検証済みアクティブ スキャンでは、データ抽出や破壊的な SQL プローブを使用せずに、ターゲット固有の証拠を使用して GeniXCMS 作成者ルートでの CVE-2017-5517- スタイルのデータベース エラー動作を確認できるようになりました。
  • 新規Netmaker DNS key authorization-bypass check. 検証済みアクティブ スキャンでは、読み取り専用の DNS API がベースライン リクエストを拒否しても、レコードの作成、変更、削除を行わずに、従来の DNS 認証パスを通じて DNS レコードの証拠を返す場合に、Netmaker 導入環境での CVE-2023-32077 の露出を確認できるようになりました。
  • 新規openDCIM source command-injection check. GitHub リポジトリ スキャンでは、アクティブなコマンド実行の代わりに、ソース一致の証拠、信頼性、実行時悪用可能性の制限を使用して、report_network_map.php の CVE-2026-28517 ソース/config パターンにフラグを立てることができるようになりました。
  • 新規SPIP valider_xml XSS check. 検証済みアクティブ スキャンでは、ブラウザで JavaScript を実行しなくても、SPIP 展開上の CVE-2016-7981- スタイルのエスケープされていない URL リフレクションを、ターゲット固有の HTML-コンテキスト証拠とともに確認できるようになりました。
  • 新規Apache Tomcat Coyote dependency advisory check. GitHub リポジトリ スキャンでは、CVE-2025-48989 / GHSA-gqp3-2cvr-x8m3 の影響を受ける Tomcat Coyote または組み込みコア バージョンを解決する Maven および Gradle ビルド ファイルに、実行時のサービス拒否の確認ではなくバージョンベースの助言証拠を付けてフラグを立てることができるようになりました。
  • 新規veraPDF XSLT dependency advisory check. GitHub リポジトリ スキャンでは、XSLT の実行確認ではなくバージョンベースの助言証拠を使用して、CVE-2024-28109 / GHSA-qxqf-2mfx-x8jw の影響を受ける veraPDF アーティファクトを解決する Maven および Gradle ビルド ファイルにフラグを立てることができるようになりました。

2026 年 5 月 18 日

  • 新規electerm dependency advisory check. GitHub リポジトリ スキャンでは、CVE-2026-41500 / GHSA-wxw2-rwmh-vr8f および CVE-2026-41501 / GHSA-8x35-hph8-37hq の影響を受ける electerm バージョンを固定または許可する npm マニフェストとロックファイルにフラグを付けることができ、悪用の確認ではなくバージョンベースの助言証拠が付けられます。
  • 新規OpenCms dependency advisory check. GitHub リポジトリ スキャンでは、XXE エクスプロイトの確認ではなくバージョンベースの助言証拠を使用して、CVE-2023-42344 / GHSA-rcc6-6q2f-m2cw の影響を受ける org.opencms:opencms-core バージョンを固定または解決する Maven pom.xml ファイルにフラグを立てることができるようになりました。
  • 新規MagicMirror /cors SSRF check. 検証済みアクティブ スキャンでは、未認証の /cors エンドポイントが FixVibe によって制御される外部コールバックを取得したときに、内部サービスを調査することなく、MagicMirror インスタンスで CVE-2026-42281 の露出を確認できるようになりました。

2026 年 5 月 17 日

  • 新規FUXA hardcoded JWT secret check. 検証済みのアクティブ スキャンにより、脆弱なフォールバック JWT 署名構成をまだ信頼している FUXA インスタンス上で CVE-2025-69971 の露出を確認できるようになりました。
  • 新規CKAN DataStore SQL exposure check. 検証済みアクティブ スキャンにより、CVE-2026-42031 に関連付けられた未認証の CKAN データストア SQL アクセスを確認し、パッチを適用した CKAN リリース ラインまたはより安全なデータストア構成にチームを導くことができるようになりました。

16 May 2026

  • 新規PDF.js dependency advisory check. GitHub リポジトリ スキャンでは、CVE-2024-4367 / GHSA-wgrm-67xf-hhpq の影響を受ける pdfjs-dist バージョンを固定または許可する npm マニフェストとロックファイルにフラグを立てることができるようになりました。
  • 新規Active scans via REST API and MCP. ダッシュボードから明示的に承認された検証済みドメインに対して、REST および MCP からアクティブ スキャンをトリガーできるようになりました。承認はいつでも取り消すことができます。
  • 新規Safer authorization levels for active scans. ドメイン認証により、より安全な自動アクティブ チェックとより詳細なアクティブ テストが区別されるようになり、チームはドメインごとに適切なレベルの検証を自動化できるようになりました。
  • 新規First-use webhook for API/MCP active scans. Webhook は、新しく承認されたドメインに対して API/MCP-triggered アクティブ スキャンが初めて実行されたときにチームに通知できます。
  • 改善Improved Referrer-Policy findings. Missing or weak Referrer-Policy results now separate URL-referrer leakage from broad information exposure, show document-response evidence, and include generic plus static-host remediation guidance.
  • 改善Improved Permissions-Policy findings. Missing or weak Permissions-Policy results now show feature-level evidence, separate broad feature allowlists from missing hardening, and include generic plus static-host remediation guidance for common hosts, proxies, and app servers.
  • 改善Improved clickjacking header prompts. Missing X-Frame-Options findings now point agents to CSP frame-ancestors as the modern protection, add Vercel/static SPA header guidance, and verify x-frame-options with CSP.
  • 改善CSP header evidence and fix prompts improved. Missing-CSP レポートには、より明確なホスティングと応答コンテキストに加えて、より安全なフレームワーク対応の修復ガイダンスが含まれるようになりました。
  • 修正Vercel path-probe false positives reduced. FixVibe では、未知のルートを App Shell に書き換えるデプロイメントで公開されたフレームワーク アーティファクトを報告する前に、アプリケーション固有のより強力な証拠が必要になりました。
  • 修正コンプライアンス系の検出に誤解を招く CWE タグがつかなくなりました。legal-compliance チェックは以前、「プライバシーポリシー不在」「利用規約不在」の検出に CWE-359(PII 公開)を付けていましたが、これは実際のギャップを記述しません。これらの検出は CWE なしで出力されます — 分類可能なセキュリティ脆弱性ではなく、コンプライアンス項目だからです。

2026 年 5 月 15 日

  • 新規Additional research-informed checks. FixVibe は、最近の脆弱性調査に基づいてさらに多くのカバレッジを提供し、すでにカバレッジが存在する既存のスキャナ モジュールに重複したトピックをマッピングしました。
  • 新規リポジトリのシークレット漏洩チェック。 GitHub リポジトリのスキャンで、ソースにコミットされたハードコードされたプロバイダーキーや、シークレットらしい高エントロピー値を検出できるようになりました。証拠はマスクされ、標準の FixVibe ローテーションプロンプトが含まれます。
  • 新規Vercel deployment protection check. パッシブ スキャンでは、Vercel デプロイメント Protection なしで応答するパブリック *.vercel.app 生成されたデプロイメント URL にフラグを立てることができるようになりました。一方、既存のヘッダー チェックは CSP、HSTS、ブラウザの強化を監査し続けます。

2026 年 5 月 14 日

  • 新規LiteLLM dependency advisory check. GitHub リポジトリ スキャンで、CVE-2026-42208 / GHSA-r75f-5x8p-qvmc の影響を受ける LiteLLM バージョンを固定または許可する Python 依存関係ファイルにフラグを立てることができるようになりました。
  • 新規LibreNMS dependency advisory check. GitHub リポジトリ スキャンで、CVE-2024-51092 / GHSA-x645-6pf9-xwxw の影響を受ける LibreNMS バージョンを固定または許可する Composer マニフェストにフラグを立てることができるようになりました。
  • 改善Firebase rules detection improved. BaaS スキャンでは、より多くの Firebase アプリ シェイプが検出され、読み取り専用の証拠を使用して、危険な公開データ漏洩を特定できるようになりました。

2026 年 5 月 13 日

  • 新規Repo Supabase RLS migration check. GitHub リポジトリ スキャンでは、一致する ALTER TABLE ... ENABLE ROW LEVEL SECURITY ステートメントのないパブリック テーブルを作成する Supabase SQL 移行にフラグを立てることができるようになりました。
  • 新規Supabase Storage posture check. パッシブ スキャンでは、既存の RLS およびキー チェックと並行して、パブリック Supabase ストレージ バケットと匿名オブジェクト リストの公開を確認できるようになりました。
  • 新規AI-generated code guardrail check. GitHub リポジトリ スキャンでは、コード スキャン、シークレット スキャン、依存関係の更新、および AI- エージェントの指示に関するセキュリティ自動化の欠落にフラグを立てることができるようになりました。

2026 年 5 月 12 日

  • 新規Repo web-app risk checklist. GitHub リポジトリ スキャンでは、生の SQL 補間、安全でない HTML シンク、資格情報のあるワイルドカード CORS、無効な TLS 検証、弱い JWT シークレット フォールバックなど、信頼性の高い OWASP- スタイルのコード リスクにフラグを立てることができるようになりました。
  • 新規Next.js middleware-bypass check. 検証済みドメインのアクティブ スキャンでは、ミドルウェアで保護されたルートで CVE-2025-29927 の露出を報告する前に確認できるようになり、レポートには修復のための標準の FixVibe AI 修正プロンプトが含まれます。

2026年5月9日

  • セキュリティCross-origin scope hardening. アクティブ スキャンとクライアント アセット チェックは、承認されたターゲット スコープ内に留まり、クロスオリジン リダイレクト間で顧客が提供した資格情報を伝達することを回避できるようになりました。
  • 修正Supabase RLS check is now strictly read-only. Supabase 姿勢チェックでは、書き込み試行が回避され、安全な露出信号に重点が置かれるようになりました。検証済みドメインのアクティブ テストは、より詳細な確認のための境界として残ります。
  • 改善セキュリティヘッダーの検出結果は、ルート HTML レスポンスにのみ適用されます。 204、JSON API、ファイルダウンロード、404 で CSP、Permissions-Policy、X-Frame-Options、Referrer-Policy が不足していても、検出結果は生成されなくなりました。HSTS と X-Content-Type-Options は引き続きすべてのレスポンスで評価されます。
  • 改善Auth-flow and rate-limit checks now require stronger evidence. FixVibe では、アプリケーションの動作が明らかにその結果をサポートしている場合にのみこれらの問題を報告するようになり、一般的なエラー ページやサポートされていないメソッドによるノイズが軽減されます。
  • 改善File-upload findings tier by exploitability evidence. ファイル アップロード レポートでは、信頼性の低い受け入れシグナルと、危険なサービス提供動作のより強力な証拠が分離されるようになり、無害なアップロード ハンドラーの過剰な重大度が軽減されます。

2026年5月7日

  • 修正Threat-intel listing accuracy improved. FixVibe は、実際のブロックリストの証拠とリゾルバー診断を区別するようになりました。これにより、脅威インテリジェンスの検出結果がインフラストラクチャ側の検索応答について過剰に報告されなくなります。
  • 新規GitHub リポジトリスキャン。 リポジトリを接続すると、FixVibe はデプロイ済みサイトを読み込まずに、漏えいした Supabase service key、Firebase admin token、危険な workflow file、古い依存関係をソースからチェックします。スキャンの種類 を参照してください。
  • 新規危険な JavaScript に対する SAST チェック。 リポジトリスキャンは new Function()setTimeout("string") をフラグ付けするようになりました。どちらも信頼できない入力を与えると eval() と同等です。
  • 修正Vercel / Cloudflare サイトでの誤った「公開ファイル」検出。 裸の 403 Forbidden レスポンスは「ファイルが存在する」として報告されなくなりました。多くの edge provider は、そのファイルが存在するかどうかに関係なく、怪しく見えるパスに 403 を返します。現在はフラグ付け前に正の HTTP シグナルを要求しています。
  • 修正Repo-code false positives reduced. リポジトリ スキャンでは、コメント、ドキュメント、テスト ヘルパー、およびいくつかの高信号コード チェックの明らかにサーバーのみのコンテキストでセキュリティ用語のフラグ付けが回避されるようになりました。
  • 修正localStorage 内の Supabase anon key は、JWT-in-storage の検出結果として報告されなくなりました。anon key は公開を意図したクライアントトークンです。ブラウザストレージ内の本物の service-role token は、より明確なタイトルで critical になります。
  • 修正CSP weakness detection improved. Content-Security-Policy チェックは、有効なブラウザ ポリシーに焦点を当てた証拠と修復を維持しながら、より寛容なソース ポリシーを検出するようになりました。
  • 修正Reflected-XSS check tightened. アクティブ スキャンでは、実行可能コンテキストのリスクを報告する前に、より強力なリフレクション証拠が必要となるため、ページ上の無関係なマークアップによる誤検知が減少します。
  • 修正ドメイン検証は apex ↔ www リダイレクトを正しく扱うようになり、TXT レコードの Host フィールドに入れる値もより明確になりました。

形式

各エントリには、ざっと読めるようタグが付いています。

  • 新規 新しいチェック、対象範囲、または機能です。
  • 改善 既存の動作が改善されました。より正確に、速く、分かりやすくなっています。
  • 修正 出荷後に見つけて修正したバグです。
  • セキュリティ ハードニング、脆弱性修正、またはコンプライアンス変更です。

壊れているのにここに記録されていないものを見つけましたか? support@fixvibe.app までメールしてください。

変更履歴 — Docs · FixVibe