CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.10)

CVE-2026-46843
Medium

Podatność w Oracle REST Data Services (komponent: Core) dotyczy wersji 24.2.0-26.1.0. Umożliwia łatwe wykorzystanie przez nieautoryzowanego atakującego z dostępem do sieci przez HTTPS, co może prowadzić do częściowego odmowy usługi (partial DOS) Oracle REST Data Services.

CVE-2026-46842
Medium

Podatność w Oracle REST Data Services (komponent: Core) dotyczy wersji 24.2.0-26.1.0. Umożliwia łatwe wykorzystanie przez nieautoryzowanego atakującego z dostępem do sieci przez HTTPS, co może prowadzić do nieautoryzowanej aktualizacji, wstawiania lub usuwania danych w Oracle REST Data Services.

CVE-2026-46841
Medium

Podatność w Oracle REST Data Services (komponent: Ogólny) dotyczy wersji 24.2.0-26.1.0. Łatwo eksploatowalna podatność pozwala nieautoryzowanemu atakującemu z dostępem do sieci przez HTTPS na kompromitację Oracle REST Data Services.

CVE-2026-46830
Medium

Podatność w Oracle REST Data Services (komponent: Mongoapi) dotyczy wersji 24.2.0-26.1.0. Umożliwia łatwe wykorzystanie przez nieautoryzowanego atakującego z dostępem do sieci przez HTTPS, co może prowadzić do nieautoryzowanego dostępu do części danych Oracle REST Data Services.

CVE-2026-42400
Medium

W Kibana występuje niekontrolowane zużycie zasobów, które może prowadzić do odmowy usługi poprzez nadmierne przydzielanie zasobów. Użytkownik z autoryzacją może wysłać specjalnie przygotowany skompresowany ładunek żądania, który jest przetwarzany przed sprawdzeniem uprawnień, co prowadzi do nadmiernego zużycia pamięci i CPU.

CVE-2026-42399
Medium

W Kibana występuje niekontrolowane zużycie zasobów, które może prowadzić do odmowy usługi poprzez nadmierną alokację pamięci. Użytkownik z niskimi uprawnieniami, po uwierzytelnieniu, może spowodować, że Kibana zacznie zużywać rosnące ilości pamięci, przesyłając specjalnie przygotowany wyraz wizualizacji Timelion z głęboko zagnieżdżonymi wywołaniami funkcji.

CVE-2026-42070
Medium

Mantis Bug Tracker (MantisBT) to otwartoźródłowy system śledzenia problemów. W wersjach przed 2.28.2 funkcja mc_issue_update() pozwala użytkownikom z dostępem update_bug_threshold (UPDATER, z domyślnymi ustawieniami) na edytowanie, zmianę stanu widoku oraz modyfikację śledzenia czasu w notatkach błędów należących do innych użytkowników, omijając domyślny próg DEVELOPER (poziom 55) wymagany przez dedykowaną funkcję mc_issue_note_update().

CVE-2026-41897
Medium

Mantis Bug Tracker (MantisBT) to otwartoźródłowy system śledzenia błędów. W wersjach od 1.0.0 do 2.28.1 brak walidacji parametru filter_target w pliku return_dynamic_filters.php umożliwia atakującemu wstrzyknięcie dowolnego kodu HTML, jeśli celem jest niestandardowe pole TEXTAREA. Ta podatność została naprawiona w wersji 2.28.2.

CVE-2026-49130
Medium

Music Player Daemon (MPD) przed wersją 0.24.11 zawiera podatność na wstrzykiwanie CRLF w funkcji xspf_char_data wtyczki XSPF playlist. Umożliwia to atakującym osadzanie dosłownych bajtów CR/LF w polach URI poprzez dostarczenie złośliwej playlisty XSPF z numerycznymi odniesieniami do znaków XML.

CVE-2026-49129
Medium

Music Player Daemon (MPD) przed wersją 0.24.11 zawiera podatność typu server-side request forgery w CurlInputPlugin, gdzie CURLOPT_FOLLOWLOCATION jest ustawione bez CURLOPT_REDIR_PROTOCOLS_STR. Umożliwia to nieautoryzowanym atakującym obejście ograniczeń schematu http/https poprzez skierowanie na złośliwy serwer HTTP, który przekierowuje do protokołów innych niż HTTP.

CVE-2026-42401
Medium

W Kibana występuje niewłaściwa neutralizacja danych wejściowych podczas generowania stron internetowych, co może prowadzić do wstrzykiwania HTML. Użytkownik z dostępem do zapisu w indeksie Elasticsearch może wprowadzić złośliwy kod, który nie jest odpowiednio oczyszczany, co skutkuje manipulacją interfejsem użytkownika oraz nieautoryzowanymi żądaniami sieciowymi z sesji przeglądarki innego użytkownika.

CVE-2026-33464
Medium

W Kibana występuje niekontrolowane zużycie zasobów, które może prowadzić do odmowy usługi poprzez nadmierne przydzielanie zasobów. Użytkownik z niskimi uprawnieniami może wysłać specjalnie przygotowany, zbyt duży ładunek do wewnętrznego API Kibana, co powoduje wyczerpanie dostępnych zasobów i unieruchomienie procesu Kibana.

CVE-2026-33463
Medium

W Kibana występuje błąd logiczny związany z walidacją znaczników czasu wygaśnięcia, co pozwala na użycie tokena dostępu po jego wygaśnięciu. To może prowadzić do nieautoryzowanego ujawnienia informacji przez nieautoryzowanego użytkownika posiadającego token.

CVE-2026-33462
Medium

Zidentyfikowano podatność typu przejście ścieżki w funkcjonalności zarządzania dashboardami w Kibanie. Użytkownik z ograniczonymi uprawnieniami może stworzyć dashboard z odpowiednio skonstruowanym identyfikatorem, co prowadzi do niezamierzonego usunięcia zasobów przez administratora.

CVE-2026-47335
Medium

Ubuntu Linux 6.8 zawiera poprawki SAUCE, które mogą prowadzić do dereferencji wskaźnika NULL podczas obsługi powiadomień AppArmor. Błąd może być wywołany przez nieuprzywilejowanego lokalnego użytkownika, co może skutkować paniką jądra.

CVE-2026-47334
Medium

Ubuntu Linux 6.8, 6.17, and 7.0 contain AppArmor SAUCE patches which incorrectly sleep while holding a spinlock in notification handling code. The bug can be triggered by an unprivileged local user and can result in kernel panic or deadlock.

CVE-2026-47332
Medium

Ubuntu Linux 6.8, 6.17, and 7.0 contain AppArmor SAUCE patches that incorrectly validate the size of an internal structure, leading to an out-of-bounds read in notification handling code.

CVE-2026-47328
Medium

Ubuntu Linux 6.8, 6.17, and 7.0 contain AppArmor SAUCE patches that incorrectly attempt to free a pointer that was not previously kmalloc()d, leading to memory leaks. The bug can be triggered by an unprivileged local user.

CVE-2026-47326
Medium

Ubuntu Linux 6.8, 6.17, and 7.0 contain SAUCE patches with a memory leak in the handling of big responses to AppArmor notifications. The bug can be triggered by an unprivileged local user.

CVE-2026-47136
Medium

RustFS to rozproszony system przechowywania obiektów zbudowany w języku Rust. W wersjach przed 1.0.0-beta.2, punkt końcowy konsoli RustFS GET /rustfs/console/license zwracał zparsowane metadane licencji bez wymogu uwierzytelnienia.

PreviousPage 207 of 560Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS