Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
Podatność w Oracle REST Data Services (komponent: Core) dotyczy wersji 24.2.0-26.1.0. Umożliwia łatwe wykorzystanie przez nieautoryzowanego atakującego z dostępem do sieci przez HTTPS, co może prowadzić do częściowego odmowy usługi (partial DOS) Oracle REST Data Services.
Podatność w Oracle REST Data Services (komponent: Core) dotyczy wersji 24.2.0-26.1.0. Umożliwia łatwe wykorzystanie przez nieautoryzowanego atakującego z dostępem do sieci przez HTTPS, co może prowadzić do nieautoryzowanej aktualizacji, wstawiania lub usuwania danych w Oracle REST Data Services.
Podatność w Oracle REST Data Services (komponent: Ogólny) dotyczy wersji 24.2.0-26.1.0. Łatwo eksploatowalna podatność pozwala nieautoryzowanemu atakującemu z dostępem do sieci przez HTTPS na kompromitację Oracle REST Data Services.
Podatność w Oracle REST Data Services (komponent: Mongoapi) dotyczy wersji 24.2.0-26.1.0. Umożliwia łatwe wykorzystanie przez nieautoryzowanego atakującego z dostępem do sieci przez HTTPS, co może prowadzić do nieautoryzowanego dostępu do części danych Oracle REST Data Services.
W Kibana występuje niekontrolowane zużycie zasobów, które może prowadzić do odmowy usługi poprzez nadmierne przydzielanie zasobów. Użytkownik z autoryzacją może wysłać specjalnie przygotowany skompresowany ładunek żądania, który jest przetwarzany przed sprawdzeniem uprawnień, co prowadzi do nadmiernego zużycia pamięci i CPU.
W Kibana występuje niekontrolowane zużycie zasobów, które może prowadzić do odmowy usługi poprzez nadmierną alokację pamięci. Użytkownik z niskimi uprawnieniami, po uwierzytelnieniu, może spowodować, że Kibana zacznie zużywać rosnące ilości pamięci, przesyłając specjalnie przygotowany wyraz wizualizacji Timelion z głęboko zagnieżdżonymi wywołaniami funkcji.
Mantis Bug Tracker (MantisBT) to otwartoźródłowy system śledzenia problemów. W wersjach przed 2.28.2 funkcja mc_issue_update() pozwala użytkownikom z dostępem update_bug_threshold (UPDATER, z domyślnymi ustawieniami) na edytowanie, zmianę stanu widoku oraz modyfikację śledzenia czasu w notatkach błędów należących do innych użytkowników, omijając domyślny próg DEVELOPER (poziom 55) wymagany przez dedykowaną funkcję mc_issue_note_update().
Mantis Bug Tracker (MantisBT) to otwartoźródłowy system śledzenia błędów. W wersjach od 1.0.0 do 2.28.1 brak walidacji parametru filter_target w pliku return_dynamic_filters.php umożliwia atakującemu wstrzyknięcie dowolnego kodu HTML, jeśli celem jest niestandardowe pole TEXTAREA. Ta podatność została naprawiona w wersji 2.28.2.
Music Player Daemon (MPD) przed wersją 0.24.11 zawiera podatność na wstrzykiwanie CRLF w funkcji xspf_char_data wtyczki XSPF playlist. Umożliwia to atakującym osadzanie dosłownych bajtów CR/LF w polach URI poprzez dostarczenie złośliwej playlisty XSPF z numerycznymi odniesieniami do znaków XML.
Music Player Daemon (MPD) przed wersją 0.24.11 zawiera podatność typu server-side request forgery w CurlInputPlugin, gdzie CURLOPT_FOLLOWLOCATION jest ustawione bez CURLOPT_REDIR_PROTOCOLS_STR. Umożliwia to nieautoryzowanym atakującym obejście ograniczeń schematu http/https poprzez skierowanie na złośliwy serwer HTTP, który przekierowuje do protokołów innych niż HTTP.
W Kibana występuje niewłaściwa neutralizacja danych wejściowych podczas generowania stron internetowych, co może prowadzić do wstrzykiwania HTML. Użytkownik z dostępem do zapisu w indeksie Elasticsearch może wprowadzić złośliwy kod, który nie jest odpowiednio oczyszczany, co skutkuje manipulacją interfejsem użytkownika oraz nieautoryzowanymi żądaniami sieciowymi z sesji przeglądarki innego użytkownika.
W Kibana występuje niekontrolowane zużycie zasobów, które może prowadzić do odmowy usługi poprzez nadmierne przydzielanie zasobów. Użytkownik z niskimi uprawnieniami może wysłać specjalnie przygotowany, zbyt duży ładunek do wewnętrznego API Kibana, co powoduje wyczerpanie dostępnych zasobów i unieruchomienie procesu Kibana.
W Kibana występuje błąd logiczny związany z walidacją znaczników czasu wygaśnięcia, co pozwala na użycie tokena dostępu po jego wygaśnięciu. To może prowadzić do nieautoryzowanego ujawnienia informacji przez nieautoryzowanego użytkownika posiadającego token.
Zidentyfikowano podatność typu przejście ścieżki w funkcjonalności zarządzania dashboardami w Kibanie. Użytkownik z ograniczonymi uprawnieniami może stworzyć dashboard z odpowiednio skonstruowanym identyfikatorem, co prowadzi do niezamierzonego usunięcia zasobów przez administratora.
Ubuntu Linux 6.8 zawiera poprawki SAUCE, które mogą prowadzić do dereferencji wskaźnika NULL podczas obsługi powiadomień AppArmor. Błąd może być wywołany przez nieuprzywilejowanego lokalnego użytkownika, co może skutkować paniką jądra.
W systemach Ubuntu Linux 6.8, 6.17 i 7.0 występuje błąd w łatkach AppArmor SAUCE, który powoduje, że kod obsługi powiadomień niewłaściwie wstrzymuje działanie podczas trzymania spinlocka. Błąd ten może być wywołany przez nieuprzywilejowanego lokalnego użytkownika, co może prowadzić do paniki jądra lub zakleszczenia.
W systemach Ubuntu Linux 6.8, 6.17 i 7.0 występują poprawki AppArmor SAUCE, które nieprawidłowo walidują rozmiar wewnętrznej struktury. Może to prowadzić do odczytu poza zakresem w kodzie obsługi powiadomień.
W systemach Ubuntu Linux 6.8, 6.17 i 7.0 występują poprawki AppArmor SAUCE, które niepoprawnie próbują zwolnić wskaźnik, który nie został wcześniej przydzielony przez kmalloc(), co prowadzi do wycieku pamięci. Błąd ten może być wywołany przez nieuprzywilejowanego lokalnego użytkownika.
Ubuntu Linux 6.8, 6.17 i 7.0 zawierają poprawki SAUCE z wyciekiem pamięci w obsłudze dużych odpowiedzi na powiadomienia AppArmor. Błąd może być wywołany przez nieuprzywilejowanego lokalnego użytkownika.
RustFS to rozproszony system przechowywania obiektów zbudowany w języku Rust. W wersjach przed 1.0.0-beta.2, punkt końcowy konsoli RustFS GET /rustfs/console/license zwracał zparsowane metadane licencji bez wymogu uwierzytelnienia.

