CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.10)
Podatność w Oracle REST Data Services (komponent: Core) dotyczy wersji 24.2.0-26.1.0. Umożliwia łatwe wykorzystanie przez nieautoryzowanego atakującego z dostępem do sieci przez HTTPS, co może prowadzić do częściowego odmowy usługi (partial DOS) Oracle REST Data Services.
Podatność w Oracle REST Data Services (komponent: Core) dotyczy wersji 24.2.0-26.1.0. Umożliwia łatwe wykorzystanie przez nieautoryzowanego atakującego z dostępem do sieci przez HTTPS, co może prowadzić do nieautoryzowanej aktualizacji, wstawiania lub usuwania danych w Oracle REST Data Services.
Podatność w Oracle REST Data Services (komponent: Ogólny) dotyczy wersji 24.2.0-26.1.0. Łatwo eksploatowalna podatność pozwala nieautoryzowanemu atakującemu z dostępem do sieci przez HTTPS na kompromitację Oracle REST Data Services.
Podatność w Oracle REST Data Services (komponent: Mongoapi) dotyczy wersji 24.2.0-26.1.0. Umożliwia łatwe wykorzystanie przez nieautoryzowanego atakującego z dostępem do sieci przez HTTPS, co może prowadzić do nieautoryzowanego dostępu do części danych Oracle REST Data Services.
W Kibana występuje niekontrolowane zużycie zasobów, które może prowadzić do odmowy usługi poprzez nadmierne przydzielanie zasobów. Użytkownik z autoryzacją może wysłać specjalnie przygotowany skompresowany ładunek żądania, który jest przetwarzany przed sprawdzeniem uprawnień, co prowadzi do nadmiernego zużycia pamięci i CPU.
W Kibana występuje niekontrolowane zużycie zasobów, które może prowadzić do odmowy usługi poprzez nadmierną alokację pamięci. Użytkownik z niskimi uprawnieniami, po uwierzytelnieniu, może spowodować, że Kibana zacznie zużywać rosnące ilości pamięci, przesyłając specjalnie przygotowany wyraz wizualizacji Timelion z głęboko zagnieżdżonymi wywołaniami funkcji.
Mantis Bug Tracker (MantisBT) to otwartoźródłowy system śledzenia problemów. W wersjach przed 2.28.2 funkcja mc_issue_update() pozwala użytkownikom z dostępem update_bug_threshold (UPDATER, z domyślnymi ustawieniami) na edytowanie, zmianę stanu widoku oraz modyfikację śledzenia czasu w notatkach błędów należących do innych użytkowników, omijając domyślny próg DEVELOPER (poziom 55) wymagany przez dedykowaną funkcję mc_issue_note_update().
Mantis Bug Tracker (MantisBT) to otwartoźródłowy system śledzenia błędów. W wersjach od 1.0.0 do 2.28.1 brak walidacji parametru filter_target w pliku return_dynamic_filters.php umożliwia atakującemu wstrzyknięcie dowolnego kodu HTML, jeśli celem jest niestandardowe pole TEXTAREA. Ta podatność została naprawiona w wersji 2.28.2.
Music Player Daemon (MPD) przed wersją 0.24.11 zawiera podatność na wstrzykiwanie CRLF w funkcji xspf_char_data wtyczki XSPF playlist. Umożliwia to atakującym osadzanie dosłownych bajtów CR/LF w polach URI poprzez dostarczenie złośliwej playlisty XSPF z numerycznymi odniesieniami do znaków XML.
Music Player Daemon (MPD) przed wersją 0.24.11 zawiera podatność typu server-side request forgery w CurlInputPlugin, gdzie CURLOPT_FOLLOWLOCATION jest ustawione bez CURLOPT_REDIR_PROTOCOLS_STR. Umożliwia to nieautoryzowanym atakującym obejście ograniczeń schematu http/https poprzez skierowanie na złośliwy serwer HTTP, który przekierowuje do protokołów innych niż HTTP.
W Kibana występuje niewłaściwa neutralizacja danych wejściowych podczas generowania stron internetowych, co może prowadzić do wstrzykiwania HTML. Użytkownik z dostępem do zapisu w indeksie Elasticsearch może wprowadzić złośliwy kod, który nie jest odpowiednio oczyszczany, co skutkuje manipulacją interfejsem użytkownika oraz nieautoryzowanymi żądaniami sieciowymi z sesji przeglądarki innego użytkownika.
W Kibana występuje niekontrolowane zużycie zasobów, które może prowadzić do odmowy usługi poprzez nadmierne przydzielanie zasobów. Użytkownik z niskimi uprawnieniami może wysłać specjalnie przygotowany, zbyt duży ładunek do wewnętrznego API Kibana, co powoduje wyczerpanie dostępnych zasobów i unieruchomienie procesu Kibana.
W Kibana występuje błąd logiczny związany z walidacją znaczników czasu wygaśnięcia, co pozwala na użycie tokena dostępu po jego wygaśnięciu. To może prowadzić do nieautoryzowanego ujawnienia informacji przez nieautoryzowanego użytkownika posiadającego token.
Zidentyfikowano podatność typu przejście ścieżki w funkcjonalności zarządzania dashboardami w Kibanie. Użytkownik z ograniczonymi uprawnieniami może stworzyć dashboard z odpowiednio skonstruowanym identyfikatorem, co prowadzi do niezamierzonego usunięcia zasobów przez administratora.
Ubuntu Linux 6.8 zawiera poprawki SAUCE, które mogą prowadzić do dereferencji wskaźnika NULL podczas obsługi powiadomień AppArmor. Błąd może być wywołany przez nieuprzywilejowanego lokalnego użytkownika, co może skutkować paniką jądra.
Ubuntu Linux 6.8, 6.17, and 7.0 contain AppArmor SAUCE patches which incorrectly sleep while holding a spinlock in notification handling code. The bug can be triggered by an unprivileged local user and can result in kernel panic or deadlock.
Ubuntu Linux 6.8, 6.17, and 7.0 contain AppArmor SAUCE patches that incorrectly validate the size of an internal structure, leading to an out-of-bounds read in notification handling code.
Ubuntu Linux 6.8, 6.17, and 7.0 contain AppArmor SAUCE patches that incorrectly attempt to free a pointer that was not previously kmalloc()d, leading to memory leaks. The bug can be triggered by an unprivileged local user.
Ubuntu Linux 6.8, 6.17, and 7.0 contain SAUCE patches with a memory leak in the handling of big responses to AppArmor notifications. The bug can be triggered by an unprivileged local user.
RustFS to rozproszony system przechowywania obiektów zbudowany w języku Rust. W wersjach przed 1.0.0-beta.2, punkt końcowy konsoli RustFS GET /rustfs/console/license zwracał zparsowane metadane licencji bez wymogu uwierzytelnienia.

