CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.16)
Podatność w produkcie Oracle Flow Manufacturing z pakietu Oracle E-Business Suite, dotycząca komponentu bezpieczeństwa. Dotknięte są wspierane wersje od 12.2.9 do 12.2.15, a podatność ta jest łatwa do wykorzystania przez atakującego z niskimi uprawnieniami, który ma dostęp do sieci, co może prowadzić do przejęcia Oracle Flow Manufacturing.
Podatność w komponencie Net Service serwera bazy danych Oracle, dotyczy wersji 23.4.0-23.26.2. Umożliwia łatwe wykorzystanie przez nieautoryzowanego atakującego z dostępem do sieci przez TLS, co może prowadzić do zawieszenia lub częstych awarii Net Service.
Podatność w komponencie Net Service serwera bazy danych Oracle. Dotyczy wersji 23.4.0-23.26.2 i umożliwia łatwe wykorzystanie przez nieautoryzowanego atakującego z dostępem do sieci przez TLS, co może prowadzić do zawieszenia lub powtarzalnego awarii Net Service.
Podatność w Oracle REST Data Services (komponent: Mongoapi) dotyczy wersji 24.2.0-26.1.0. Umożliwia łatwe wykorzystanie przez nieautoryzowanego atakującego z dostępem do sieci przez HTTPS, co może prowadzić do zawieszenia lub częstego awaria (pełne DOS) Oracle REST Data Services.
Podatność w produkcie Oracle Payroll w ramach Oracle E-Business Suite (komponent: Operacje wewnętrzne) dotyczy wersji 12.2.3-12.2.15. Łatwo eksploatowalna podatność pozwala atakującemu z niskimi uprawnieniami, mającemu dostęp do sieci przez HTTP, na kompromitację Oracle Payroll.
Podatność w produkcie Oracle Payroll w ramach Oracle E-Business Suite (komponent: Self Service Manager) dotyczy wersji 12.2.3-12.2.15. Łatwo eksploatowalna podatność pozwala atakującemu z niskimi uprawnieniami i dostępem do sieci przez HTTP na przejęcie Oracle Payroll.
Podatność w produkcie Oracle Payroll w ramach Oracle E-Business Suite (komponent: Operacje wewnętrzne). Dotyczy wspieranych wersji od 12.2.3 do 12.2.15 i umożliwia łatwe wykorzystanie przez atakującego z niskimi uprawnieniami, który ma dostęp do sieci przez HTTPS, co może prowadzić do przejęcia Oracle Payroll.
Podatność w produkcie Oracle Public Sector Financials (International) w ramach Oracle E-Business Suite, dotycząca komponentu autoryzacji. Wersje 12.2.6-12.2.15 są podatne, a atakujący z niskimi uprawnieniami i dostępem do sieci przez HTTPS może łatwo wykorzystać tę podatność.
Podatność w produkcie Oracle Financials Common Modules w ramach Oracle E-Business Suite, dotycząca wersji 12.2.3-12.2.15. Umożliwia łatwe wykorzystanie przez atakującego z niskimi uprawnieniami, który ma dostęp do sieci przez HTTP, co może prowadzić do kompromitacji danych w Oracle Financials Common Modules.
Podatność w produkcie Oracle Financials Common Modules w Oracle E-Business Suite (komponent: Common Components) dotyczy wersji 12.2.3-12.2.15. Łatwo eksploatowalna podatność pozwala atakującemu z niskimi uprawnieniami i dostępem do sieci przez HTTP na kompromitację Oracle Financials Common Modules.
Podatność w produkcie Oracle Payments w Oracle E-Business Suite (komponent: Przesyłanie plików). Dotyczy wersji 12.2.3-12.2.15. Trudna do wykorzystania podatność pozwala nieautoryzowanemu atakującemu z dostępem do sieci przez HTTPS na kompromitację Oracle Payments.
Mantis Bug Tracker (MantisBT) to otwarte oprogramowanie do śledzenia problemów. Przed wersją 2.28.2, używając parametru show_inline=1 oraz ważnego tokena CSRF file_show_inline_token w pliku file_download.php, atakujący mógł wykonać kod, przesyłając przygotowany załącznik XHTML odwołujący się do załącznika JavaScript.
Mantis Bug Tracker (MantisBT) to otwartoźródłowy system śledzenia problemów. W wersjach od 1.3.0 do 2.28.1, nieodfiltrowana nazwa projektu pozwala atakującemu, który ma dostęp na poziomie menedżera lub administratora, na wstrzyknięcie kodu HTML na stronie administracyjnej Przenieś Załączniki. Ta podatność została naprawiona w wersji 2.28.2.
W Kibana występuje podatność typu Server-Side Request Forgery (CWE-918), która pozwala uwierzytelnionym użytkownikom z uprawnieniami do zarządzania konektorami na obejście listy dozwolonych połączeń skonfigurowanej przez operatora. Atakujący może skonfigurować konektor Webhook z odpowiednio spreparowanym celem, co skutkuje wysyłaniem żądań wychodzących do zablokowanych lokalizacji.
Mantis Bug Tracker (MantisBT) to otwarte oprogramowanie do śledzenia problemów. W wersjach od 2.23.0 do 2.28.1 brak weryfikacji uprawnień w funkcji widoczności plików pozwala każdemu uwierzytelnionemu użytkownikowi (REPORTER+) na pobieranie załączników z prywatnych notatek błędów, do których nie powinien mieć dostępu, za pośrednictwem punktów końcowych REST API oraz SOAP API.
Podatność w Oracle REST Data Services (komponent: Core) dotyczy wersji 24.2.0-26.1.0. Umożliwia łatwe wykorzystanie przez atakującego z niskimi uprawnieniami, który ma dostęp do sieci przez HTTPS, co może prowadzić do nieautoryzowanego tworzenia, usuwania lub modyfikacji danych krytycznych.
Podatność w Oracle REST Data Services (komponent: Core) dotyczy wersji 24.2.0-26.1.0. Jest to trudna do wykorzystania podatność, która pozwala atakującemu o niskich uprawnieniach z dostępem do sieci przez HTTPS na kompromitację Oracle REST Data Services, wymagając jednocześnie interakcji ze strony innej osoby.
A path traversal vulnerability in MPD before version 0.24.11 allows an unauthenticated attacker to read files and directories outside the configured music_directory. The flaw exists in the local storage plugin where the path is constructed without canonicalization, allowing '..' sequences.
A stack buffer overflow vulnerability in Music Player Daemon (MPD) before version 0.24.11 exists in the pcm_unpack_24be function in src/pcm/Pack.cxx. An unauthenticated attacker can trigger an off-by-one write by issuing two MPD commands referencing a malicious HTTP audio source, causing three attacker-controlled bytes to be written past a 1365-entry buffer.
The insecure default settings of Portainer CE grant regular (non-admin) users privileges that allow host filesystem access and host-level code execution. An authenticated non-administrative user with endpoint access can exploit these settings to read host files or obtain root equivalent access on the host.

