CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.16)

CVE-2026-46837
High

Podatność w produkcie Oracle Flow Manufacturing z pakietu Oracle E-Business Suite, dotycząca komponentu bezpieczeństwa. Dotknięte są wspierane wersje od 12.2.9 do 12.2.15, a podatność ta jest łatwa do wykorzystania przez atakującego z niskimi uprawnieniami, który ma dostęp do sieci, co może prowadzić do przejęcia Oracle Flow Manufacturing.

CVE-2026-46835
High

Podatność w komponencie Net Service serwera bazy danych Oracle, dotyczy wersji 23.4.0-23.26.2. Umożliwia łatwe wykorzystanie przez nieautoryzowanego atakującego z dostępem do sieci przez TLS, co może prowadzić do zawieszenia lub częstych awarii Net Service.

CVE-2026-46834
High

Podatność w komponencie Net Service serwera bazy danych Oracle. Dotyczy wersji 23.4.0-23.26.2 i umożliwia łatwe wykorzystanie przez nieautoryzowanego atakującego z dostępem do sieci przez TLS, co może prowadzić do zawieszenia lub powtarzalnego awarii Net Service.

CVE-2026-46829
High

Podatność w Oracle REST Data Services (komponent: Mongoapi) dotyczy wersji 24.2.0-26.1.0. Umożliwia łatwe wykorzystanie przez nieautoryzowanego atakującego z dostępem do sieci przez HTTPS, co może prowadzić do zawieszenia lub częstego awaria (pełne DOS) Oracle REST Data Services.

CVE-2026-46828
High

Podatność w produkcie Oracle Payroll w ramach Oracle E-Business Suite (komponent: Operacje wewnętrzne) dotyczy wersji 12.2.3-12.2.15. Łatwo eksploatowalna podatność pozwala atakującemu z niskimi uprawnieniami, mającemu dostęp do sieci przez HTTP, na kompromitację Oracle Payroll.

CVE-2026-46827
High

Podatność w produkcie Oracle Payroll w ramach Oracle E-Business Suite (komponent: Self Service Manager) dotyczy wersji 12.2.3-12.2.15. Łatwo eksploatowalna podatność pozwala atakującemu z niskimi uprawnieniami i dostępem do sieci przez HTTP na przejęcie Oracle Payroll.

CVE-2026-46826
High

Podatność w produkcie Oracle Payroll w ramach Oracle E-Business Suite (komponent: Operacje wewnętrzne). Dotyczy wspieranych wersji od 12.2.3 do 12.2.15 i umożliwia łatwe wykorzystanie przez atakującego z niskimi uprawnieniami, który ma dostęp do sieci przez HTTPS, co może prowadzić do przejęcia Oracle Payroll.

CVE-2026-46823
High

Podatność w produkcie Oracle Public Sector Financials (International) w ramach Oracle E-Business Suite, dotycząca komponentu autoryzacji. Wersje 12.2.6-12.2.15 są podatne, a atakujący z niskimi uprawnieniami i dostępem do sieci przez HTTPS może łatwo wykorzystać tę podatność.

CVE-2026-46821
High

Podatność w produkcie Oracle Financials Common Modules w ramach Oracle E-Business Suite, dotycząca wersji 12.2.3-12.2.15. Umożliwia łatwe wykorzystanie przez atakującego z niskimi uprawnieniami, który ma dostęp do sieci przez HTTP, co może prowadzić do kompromitacji danych w Oracle Financials Common Modules.

CVE-2026-46820
High

Podatność w produkcie Oracle Financials Common Modules w Oracle E-Business Suite (komponent: Common Components) dotyczy wersji 12.2.3-12.2.15. Łatwo eksploatowalna podatność pozwala atakującemu z niskimi uprawnieniami i dostępem do sieci przez HTTP na kompromitację Oracle Financials Common Modules.

CVE-2026-46818
High

Podatność w produkcie Oracle Payments w Oracle E-Business Suite (komponent: Przesyłanie plików). Dotyczy wersji 12.2.3-12.2.15. Trudna do wykorzystania podatność pozwala nieautoryzowanemu atakującemu z dostępem do sieci przez HTTPS na kompromitację Oracle Payments.

CVE-2026-44657
High

Mantis Bug Tracker (MantisBT) to otwarte oprogramowanie do śledzenia problemów. Przed wersją 2.28.2, używając parametru show_inline=1 oraz ważnego tokena CSRF file_show_inline_token w pliku file_download.php, atakujący mógł wykonać kod, przesyłając przygotowany załącznik XHTML odwołujący się do załącznika JavaScript.

CVE-2026-44655
High

Mantis Bug Tracker (MantisBT) to otwartoźródłowy system śledzenia problemów. W wersjach od 1.3.0 do 2.28.1, nieodfiltrowana nazwa projektu pozwala atakującemu, który ma dostęp na poziomie menedżera lub administratora, na wstrzyknięcie kodu HTML na stronie administracyjnej Przenieś Załączniki. Ta podatność została naprawiona w wersji 2.28.2.

CVE-2026-42398
High

W Kibana występuje podatność typu Server-Side Request Forgery (CWE-918), która pozwala uwierzytelnionym użytkownikom z uprawnieniami do zarządzania konektorami na obejście listy dozwolonych połączeń skonfigurowanej przez operatora. Atakujący może skonfigurować konektor Webhook z odpowiednio spreparowanym celem, co skutkuje wysyłaniem żądań wychodzących do zablokowanych lokalizacji.

CVE-2026-42071
High

Mantis Bug Tracker (MantisBT) to otwarte oprogramowanie do śledzenia problemów. W wersjach od 2.23.0 do 2.28.1 brak weryfikacji uprawnień w funkcji widoczności plików pozwala każdemu uwierzytelnionemu użytkownikowi (REPORTER+) na pobieranie załączników z prywatnych notatek błędów, do których nie powinien mieć dostępu, za pośrednictwem punktów końcowych REST API oraz SOAP API.

CVE-2026-35277
High

Podatność w Oracle REST Data Services (komponent: Core) dotyczy wersji 24.2.0-26.1.0. Umożliwia łatwe wykorzystanie przez atakującego z niskimi uprawnieniami, który ma dostęp do sieci przez HTTPS, co może prowadzić do nieautoryzowanego tworzenia, usuwania lub modyfikacji danych krytycznych.

CVE-2026-35266
High

Podatność w Oracle REST Data Services (komponent: Core) dotyczy wersji 24.2.0-26.1.0. Jest to trudna do wykorzystania podatność, która pozwala atakującemu o niskich uprawnieniach z dostępem do sieci przez HTTPS na kompromitację Oracle REST Data Services, wymagając jednocześnie interakcji ze strony innej osoby.

CVE-2026-49128
High

A path traversal vulnerability in MPD before version 0.24.11 allows an unauthenticated attacker to read files and directories outside the configured music_directory. The flaw exists in the local storage plugin where the path is constructed without canonicalization, allowing '..' sequences.

CVE-2026-49127
High

A stack buffer overflow vulnerability in Music Player Daemon (MPD) before version 0.24.11 exists in the pcm_unpack_24be function in src/pcm/Pack.cxx. An unauthenticated attacker can trigger an off-by-one write by issuing two MPD commands referencing a malicious HTTP audio source, causing three attacker-controlled bytes to be written past a 1365-entry buffer.

CVE-2026-33590
High

The insecure default settings of Portainer CE grant regular (non-admin) users privileges that allow host filesystem access and host-level code execution. An authenticated non-administrative user with endpoint access can exploit these settings to read host files or obtain root equivalent access on the host.

PreviousPage 281 of 3420Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS