CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.13)

CVE-2026-46829
High

Podatność w Oracle REST Data Services (komponent: Mongoapi) dotyczy wersji 24.2.0-26.1.0. Umożliwia łatwe wykorzystanie przez nieautoryzowanego atakującego z dostępem do sieci przez HTTPS, co może prowadzić do zawieszenia lub częstego awaria (pełne DOS) Oracle REST Data Services.

CVE-2026-46828
High

Podatność w produkcie Oracle Payroll w ramach Oracle E-Business Suite (komponent: Operacje wewnętrzne) dotyczy wersji 12.2.3-12.2.15. Łatwo eksploatowalna podatność pozwala atakującemu z niskimi uprawnieniami, mającemu dostęp do sieci przez HTTP, na kompromitację Oracle Payroll.

CVE-2026-46827
High

Podatność w produkcie Oracle Payroll w ramach Oracle E-Business Suite (komponent: Self Service Manager) dotyczy wersji 12.2.3-12.2.15. Łatwo eksploatowalna podatność pozwala atakującemu z niskimi uprawnieniami i dostępem do sieci przez HTTP na przejęcie Oracle Payroll.

CVE-2026-46826
High

Podatność w produkcie Oracle Payroll w ramach Oracle E-Business Suite (komponent: Operacje wewnętrzne). Dotyczy wspieranych wersji od 12.2.3 do 12.2.15 i umożliwia łatwe wykorzystanie przez atakującego z niskimi uprawnieniami, który ma dostęp do sieci przez HTTPS, co może prowadzić do przejęcia Oracle Payroll.

CVE-2026-46823
High

Podatność w produkcie Oracle Public Sector Financials (International) w ramach Oracle E-Business Suite, dotycząca komponentu autoryzacji. Wersje 12.2.6-12.2.15 są podatne, a atakujący z niskimi uprawnieniami i dostępem do sieci przez HTTPS może łatwo wykorzystać tę podatność.

CVE-2026-46821
High

Podatność w produkcie Oracle Financials Common Modules w ramach Oracle E-Business Suite, dotycząca wersji 12.2.3-12.2.15. Umożliwia łatwe wykorzystanie przez atakującego z niskimi uprawnieniami, który ma dostęp do sieci przez HTTP, co może prowadzić do kompromitacji danych w Oracle Financials Common Modules.

CVE-2026-46820
High

Podatność w produkcie Oracle Financials Common Modules w Oracle E-Business Suite (komponent: Common Components) dotyczy wersji 12.2.3-12.2.15. Łatwo eksploatowalna podatność pozwala atakującemu z niskimi uprawnieniami i dostępem do sieci przez HTTP na kompromitację Oracle Financials Common Modules.

CVE-2026-46818
High

Podatność w produkcie Oracle Payments w Oracle E-Business Suite (komponent: Przesyłanie plików). Dotyczy wersji 12.2.3-12.2.15. Trudna do wykorzystania podatność pozwala nieautoryzowanemu atakującemu z dostępem do sieci przez HTTPS na kompromitację Oracle Payments.

CVE-2026-44657
High

Mantis Bug Tracker (MantisBT) to otwarte oprogramowanie do śledzenia problemów. Przed wersją 2.28.2, używając parametru show_inline=1 oraz ważnego tokena CSRF file_show_inline_token w pliku file_download.php, atakujący mógł wykonać kod, przesyłając przygotowany załącznik XHTML odwołujący się do załącznika JavaScript.

CVE-2026-44655
High

Mantis Bug Tracker (MantisBT) to otwartoźródłowy system śledzenia problemów. W wersjach od 1.3.0 do 2.28.1, nieodfiltrowana nazwa projektu pozwala atakującemu, który ma dostęp na poziomie menedżera lub administratora, na wstrzyknięcie kodu HTML na stronie administracyjnej Przenieś Załączniki. Ta podatność została naprawiona w wersji 2.28.2.

CVE-2026-42398
High

W Kibana występuje podatność typu Server-Side Request Forgery (CWE-918), która pozwala uwierzytelnionym użytkownikom z uprawnieniami do zarządzania konektorami na obejście listy dozwolonych połączeń skonfigurowanej przez operatora. Atakujący może skonfigurować konektor Webhook z odpowiednio spreparowanym celem, co skutkuje wysyłaniem żądań wychodzących do zablokowanych lokalizacji.

CVE-2026-42071
High

Mantis Bug Tracker (MantisBT) to otwarte oprogramowanie do śledzenia problemów. W wersjach od 2.23.0 do 2.28.1 brak weryfikacji uprawnień w funkcji widoczności plików pozwala każdemu uwierzytelnionemu użytkownikowi (REPORTER+) na pobieranie załączników z prywatnych notatek błędów, do których nie powinien mieć dostępu, za pośrednictwem punktów końcowych REST API oraz SOAP API.

CVE-2026-35277
High

Podatność w Oracle REST Data Services (komponent: Core) dotyczy wersji 24.2.0-26.1.0. Umożliwia łatwe wykorzystanie przez atakującego z niskimi uprawnieniami, który ma dostęp do sieci przez HTTPS, co może prowadzić do nieautoryzowanego tworzenia, usuwania lub modyfikacji danych krytycznych.

CVE-2026-35266
High

Podatność w Oracle REST Data Services (komponent: Core) dotyczy wersji 24.2.0-26.1.0. Jest to trudna do wykorzystania podatność, która pozwala atakującemu o niskich uprawnieniach z dostępem do sieci przez HTTPS na kompromitację Oracle REST Data Services, wymagając jednocześnie interakcji ze strony innej osoby.

CVE-2026-49128
High

Demon muzyczny (MPD) przed wersją 0.24.11 zawiera podatność na przejście ścieżki w LocalStorage::MapFSOrThrow i LocalStorage::MapUTF8 wtyczki lokalnego magazynu. Problem polega na tym, że ścieżka na dysku jest tworzona przez połączenie katalogu magazynu z URI dostarczonym przez użytkownika bez kanonizacji, co pozwala na przetrwanie segmentów '..' w rozwiązanej ścieżce.

CVE-2026-49127
High

Demon muzyczny (MPD) przed wersją 0.24.11 zawiera podatność na przepełnienie bufora stosu w funkcji pcm_unpack_24be, co pozwala nieautoryzowanym atakującym na uszkodzenie pamięci stosu. Atakujący mogą wywołać dwa polecenia MPD, które prowadzą do nadpisania pamięci poza granicami bufora.

CVE-2026-33590
High

The insecure default settings of Portainer CE grant regular (non-admin) users privileges that allow host filesystem access and host-level code execution. An authenticated non-administrative user with endpoint access can exploit these settings to read host files or obtain root equivalent access on the host.

CVE-2026-32847
High

DeepCode w wersji zawierającej commit c991dc2 ma podatność na traversję ścieżki w trasie catch-all w pliku new_ui/backend/main.py. Umożliwia to nieautoryzowanym atakującym odczyt dowolnych plików poprzez dostarczenie zakodowanych segmentów ścieżki do punktu końcowego GET /{full_path:path}.

CVE-2026-4944
High

W wersji 0.14.1 projektu vllm występuje podatność związana z hardcodowanym parametrem `trust_remote_code=True` w dwóch plikach implementacji modeli. To omija ustawienie użytkownika `--trust-remote-code=False`, co umożliwia zdalne wykonywanie kodu z złośliwych repozytoriów modeli HuggingFace.

CVE-2026-47333
High

Ubuntu Linux 6.8, 6.17, and 7.0 contain AppArmor SAUCE patches that may incorrectly compute the size of an internal buffer, leading to a heap memory out-of-bounds read in notification handling code.

PreviousPage 224 of 3355Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS