CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.16)

CVE-2026-44883
High

Portainer Community Edition to platforma do zarządzania aplikacjami kontenerowymi, która w wersjach od 2.33.0 do przed 2.33.8, 2.39.2 i 2.41.0 akceptuje tokeny JWT przekazywane jako parametr ?token=<JWT> w URL na każdym uwierzytelnionym punkcie API. Taki sposób przekazywania tokenów naraża je na przechwycenie przez osoby mające dostęp do logów lub zewnętrznych stron odwiedzanych przez użytkownika.

CVE-2026-44882
High

Portainer Community Edition to platforma do zarządzania aplikacjami kontenerowymi, która od wersji 2.33.0 do przed 2.33.8 miała lukę w middleware kubeClientMiddleware. Luka ta pozwalała na ominięcie sprawdzenia uprawnień użytkownika, co skutkowało przekazywaniem żądań do klastrów Kubernetes mimo braku odpowiednich uprawnień.

CVE-2026-44850
High

Portainer Community Edition to platforma do zarządzania aplikacjami kontenerowymi, która w wersjach od 2.33.0 do przed 2.33.8, 2.39.2 i 2.41.0 miała lukę umożliwiającą użytkownikom z odpowiednimi uprawnieniami tworzenie kontenerów z zamontowanymi ścieżkami hosta. Sprawdzenie zabezpieczeń nie uwzględniało odpowiedniej tablicy HostConfig.Mounts, co pozwalało na obejście ograniczeń.

CVE-2026-44849
High

Portainer Community Edition to lekka platforma do dostarczania usług dla aplikacji kontenerowych, która umożliwia zarządzanie środowiskami Docker, Swarm, Kubernetes i ACI. W wersjach od 2.33.0 do przed 2.33.8, 2.39.2 i 2.41.0, Portainer egzekwuje siedem ograniczeń EndpointSecuritySettings, które administratorzy mogą skonfigurować, aby ograniczyć konfiguracje kontenerów, które mogą uruchamiać użytkownicy niebędący administratorami. Ograniczenia te nie są stosowane w API usługi Docker Swarm, co stanowi lukę w zabezpieczeniach.

CVE-2026-44848
High

Portainer Community Edition to platforma do zarządzania aplikacjami kontenerowymi, która w wersjach od 2.33.0 do przed 2.33.8, 2.39.2 i 2.41.0 miała lukę w zarządzaniu wtyczkami Docker. Użytkownicy standardowi z dostępem do punktu końcowego mogli wykonywać operacje wymagające uprawnień administratora, takie jak instalacja i włączanie wtyczek, bez odpowiednich uprawnień.

CVE-2026-39929
High

Wersje Lakeside SysTrack Agent przed 11.2.1.28, 11.3.0.38, 11.4.0.24, 11.5.0.15 zawierają podatność na odczyt poza zakresem w obsłudze pakietów UDP z identyfikatorem polecenia 30. Umożliwia to zdalnym atakującym zablokowanie aplikacji poprzez wysłanie specjalnie skonstruowanego pakietu UDP.

CVE-2026-10044
High

Usagi-org ai-goofish-monitor zawiera podatność na nieautoryzowane odczyty plików w punkcie końcowym GET /api/prompts/{filename} w implementacjach na systemie Windows. Umożliwia to zdalnym atakującym bez autoryzacji odczyt dowolnych plików poprzez podanie absolutnych ścieżek Windows lub sekwencji przejścia wstecz.

CVE-2026-46837
High

Podatność w produkcie Oracle Flow Manufacturing z pakietu Oracle E-Business Suite, dotycząca komponentu bezpieczeństwa. Dotknięte są wspierane wersje od 12.2.9 do 12.2.15, a podatność ta jest łatwa do wykorzystania przez atakującego z niskimi uprawnieniami, który ma dostęp do sieci, co może prowadzić do przejęcia Oracle Flow Manufacturing.

CVE-2026-46835
High

Podatność w komponencie Net Service serwera bazy danych Oracle, dotyczy wersji 23.4.0-23.26.2. Umożliwia łatwe wykorzystanie przez nieautoryzowanego atakującego z dostępem do sieci przez TLS, co może prowadzić do zawieszenia lub częstych awarii Net Service.

CVE-2026-46834
High

Podatność w komponencie Net Service serwera bazy danych Oracle. Dotyczy wersji 23.4.0-23.26.2 i umożliwia łatwe wykorzystanie przez nieautoryzowanego atakującego z dostępem do sieci przez TLS, co może prowadzić do zawieszenia lub powtarzalnego awarii Net Service.

CVE-2026-46829
High

Podatność w Oracle REST Data Services (komponent: Mongoapi) dotyczy wersji 24.2.0-26.1.0. Umożliwia łatwe wykorzystanie przez nieautoryzowanego atakującego z dostępem do sieci przez HTTPS, co może prowadzić do zawieszenia lub częstego awaria (pełne DOS) Oracle REST Data Services.

CVE-2026-46828
High

Podatność w produkcie Oracle Payroll w ramach Oracle E-Business Suite (komponent: Operacje wewnętrzne) dotyczy wersji 12.2.3-12.2.15. Łatwo eksploatowalna podatność pozwala atakującemu z niskimi uprawnieniami, mającemu dostęp do sieci przez HTTP, na kompromitację Oracle Payroll.

CVE-2026-46827
High

Podatność w produkcie Oracle Payroll w ramach Oracle E-Business Suite (komponent: Self Service Manager) dotyczy wersji 12.2.3-12.2.15. Łatwo eksploatowalna podatność pozwala atakującemu z niskimi uprawnieniami i dostępem do sieci przez HTTP na przejęcie Oracle Payroll.

CVE-2026-46826
High

Podatność w produkcie Oracle Payroll w ramach Oracle E-Business Suite (komponent: Operacje wewnętrzne). Dotyczy wspieranych wersji od 12.2.3 do 12.2.15 i umożliwia łatwe wykorzystanie przez atakującego z niskimi uprawnieniami, który ma dostęp do sieci przez HTTPS, co może prowadzić do przejęcia Oracle Payroll.

CVE-2026-46823
High

Podatność w produkcie Oracle Public Sector Financials (International) w ramach Oracle E-Business Suite, dotycząca komponentu autoryzacji. Wersje 12.2.6-12.2.15 są podatne, a atakujący z niskimi uprawnieniami i dostępem do sieci przez HTTPS może łatwo wykorzystać tę podatność.

CVE-2026-46821
High

Podatność w produkcie Oracle Financials Common Modules w ramach Oracle E-Business Suite, dotycząca wersji 12.2.3-12.2.15. Umożliwia łatwe wykorzystanie przez atakującego z niskimi uprawnieniami, który ma dostęp do sieci przez HTTP, co może prowadzić do kompromitacji danych w Oracle Financials Common Modules.

CVE-2026-46820
High

Podatność w produkcie Oracle Financials Common Modules w Oracle E-Business Suite (komponent: Common Components) dotyczy wersji 12.2.3-12.2.15. Łatwo eksploatowalna podatność pozwala atakującemu z niskimi uprawnieniami i dostępem do sieci przez HTTP na kompromitację Oracle Financials Common Modules.

CVE-2026-46818
High

Podatność w produkcie Oracle Payments w Oracle E-Business Suite (komponent: Przesyłanie plików). Dotyczy wersji 12.2.3-12.2.15. Trudna do wykorzystania podatność pozwala nieautoryzowanemu atakującemu z dostępem do sieci przez HTTPS na kompromitację Oracle Payments.

CVE-2026-44657
High

Mantis Bug Tracker (MantisBT) to otwarte oprogramowanie do śledzenia problemów. Przed wersją 2.28.2, używając parametru show_inline=1 oraz ważnego tokena CSRF file_show_inline_token w pliku file_download.php, atakujący mógł wykonać kod, przesyłając przygotowany załącznik XHTML odwołujący się do załącznika JavaScript.

CVE-2026-44655
High

Mantis Bug Tracker (MantisBT) to otwartoźródłowy system śledzenia problemów. W wersjach od 1.3.0 do 2.28.1, nieodfiltrowana nazwa projektu pozwala atakującemu, który ma dostęp na poziomie menedżera lub administratora, na wstrzyknięcie kodu HTML na stronie administracyjnej Przenieś Załączniki. Ta podatność została naprawiona w wersji 2.28.2.

PreviousPage 289 of 3428Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS