CVE-2026-48907Уязвимость в расширении редактора JCE для Joomla позволяет создавать новые профили редактора для пользователей без аутентификации, что в конечном итоге приводит к загрузке и исполнению кода PHP.
CVE-2026-46840Уязвимость в службах данных Oracle REST (компонент: Backend-as-a-Service). Поддерживаемые версии, которые затронуты, являются 24.2.0-26.1.0. Легко эксплуатируемая уязвимость позволяет неаутентифицируемому злоумышленнику с доступом к сети через HTTPS скомпрометировать службы Oracle REST Data Services. В то время как уязвимость находится в Oracle REST Data Services, атаки могут значительно повлиять на дополнительные продукты (изменение области). Успешные атаки этой уязвимости могут привести к поглощению Oracle REST Data Services. CVSS 3.1 Базовый балл 10,0 (Влияние конфиденциальности, целостности и доступности). Вектор CVSS: (CVSS:3.1/AV:N/AC:L/N/UI:N/S:C/C/H/I:H/H/A:H/A:H).
CVE-2026-35435Повышение привилегий в Azure AI Foundry
CVE-2026-34908Злоумышленник, имеющий доступ к сети, может использовать уязвимость неправомерного контроля доступа, обнаруженную в устройствах UniFi OS, для внесения несанкционированных изменений в систему.
CVE-2026-31843Пакет goodoneuz/pay-uz Laravel (<= 2.2.24) содержит критическую уязвимость в конечной точке /payment/api/editable/update, которая позволяет неаутентифицированным злоумышленникам перезаписать существующие файлы PHP. Кроненная точка подвергается воздействию через маршрут::any() без промежуточного программного обеспечения аутентификации, что обеспечивает удаленный доступ без учетных данных. Вход, контролируемый пользователем, напрямую записывается в исполняемые файлы PHP с помощью file_put_contents(). Эти файлы позже выполняются через потребующего() во время обычных рабочих процессов обработки платежей, что приводит к удаленному выполнению кода при поведении приложения по умолчанию. Оплатный секретный токен, упомянутый продавцом, не связан с этой конечной точкой и не смягчает уязвимость.
CVE-2026-30966Parse Server - это бэкэнд с открытым исходным кодом, который может быть развернут в любой инфраструктуре, которая может запускать Node.js. До 9.5.2-альфа.7 и 8.6.20 внутренние таблицы Parse Server, в которых хранятся отображения полей отношений, такие как членство в ролях, могут быть напрямую доступны через REST API или GraphQL API любым клиентом, использующего только ключ приложения. Не требуется мастер-ключ. Агрессор может создавать, читать, обновлять или удалять записи в любой таблице внутренних отношений. Эксплуатация этого позволяет злоумышленнику вводить себя в любую роль Парса, получая все разрешения, связанные с этой ролью, включая полное чтение, запись и удаление доступа к классам, защищенным разрешениями на уровне класса (CLP). Аналогично, написание на любую такую таблицу, которая поддерживает поле Отношения, используемое в указательном поле, обходит этот контроль доступа. Эта уязвимость зафиксирована в пунктах 9.5.2-альфа.7 и 8.6.20.
CVE-2026-2768Выполнение произвольного кода в Mozilla Firefox и Thunderbird ESR
CVE-2026-21962Уязвимость в Oracle HTTP Server, Oracle Weblogic Server Proxy Plug-in продукта Oracle Fusion Middleware (компонент: площадка Weblogic Server Proxy для Apache HTTP Server, площадка Weblogic Server Proxy для IIS). Поддерживаемые версии, которые затронуты, являются 12.2.1.4.0, 14.1.1.0.0 и 14.1.2.0.0. Легко эксплуатируемая уязвимость позволяет неаутентификированному злоумышленнику с сетевым доступом через HTTP, чтобы скомпрометировать Oracle HTTP Server, Oracle Weblogic Server Proxy Plug-in. В то время как уязвимость находится в Oracle HTTP Server, Oracle Weblogic Server Proxy Plug-in, атаки могут значительно повлиять на дополнительные продукты (изменение области). Успешные атаки этой уязвимости могут привести к несанкционированному созданию, удалению или изменению доступа к критически важным данным или всем данным Oracle HTTP Server, Oracle Weblogic Server Proxy Plug-in, а также к несанкционированному доступу к критически важным данным или полному доступу к всем данным Oracle HTTP Server, Oracle Weblogic Server Proxy Plug-in. Примечание: Затронутая версия для Weblogic Server Proxy Plug-in для IIS является только 12.2.1.4.0. CVSS 3.1 Базовый балл 10,0 (Влияние конфиденциальности и целостности). Вектор CVSS: (CVSS:3:3/N/AC:L/N/UI:N/S:C/C:H/I:H/I:H/A:N/N/N/S:C:H/I:H/A:N).
CVE-2026-21636Недостаток в модели разрешения Node.js позволяет соединениям Unix Domain Socket (UDS) обходить сетевые ограничения, когда «--разрешение включено». Даже без `--all-net-net входов, контролируемых злоумышленниками (такими как URL-адреса или опции socketPath) могут подключаться к произвольным локальным розеткам через net, tls или unddici/fetch. Это нарушает предполагаемую границу безопасности модели разрешения и обеспечивает доступ к привилегированным местным услугам, что потенциально может привести к эскалации привилегий, раскрытию данных или исполнению местного кода.
* Проблема затрагивает пользователей модели разрешения Node.js на версии v25.
В момент этой уязвимости сетевые разрешения (`-- пуск-net``) все еще находятся в экспериментальной фазе.
CVE-2026-0881Выполнение произвольного кода в Mozilla Thunderbird
CVE-2025-54339Неправильная уязвимость контроля доступа была обнаружена в сервере приложений настольных оповещений PingAlert версии 6.1.0.11-6.1.1.2, используемая удаленно для эскалации привилегий.
CVE-2024-22216В установках по умолчанию Microchip maxView Storage Manager (для Adaptec Smart Storage Controllers), где сервер Redfish настроен для удаленного управления системой, может произойти несанкционированный доступ с изменением данных и раскрытием информации. Это влияет на версии с 3.00.23484 по 4.14.00.26064 (за исключением исправленных версий 3.07.23980 и 4.07.00.25339).
CVE-2023-29130Обнаружена уязвимость в SIMATIC CN 4100 (все версии < V2.5). Затронутое устройство состоит из неправильных средств контроля доступа в файлах конфигурации, что приводит к повышению привилегий. Злоумышленник может получить доступ администратора с помощью этой уязвимости, что приведет к полному контролю над устройством.
CVE-2022-32158Серверы развертывания Splunk Enterprise в версиях до 8.1.10.1, 8.2.6.1 и 9.0 позволяют клиентам развертывать пакеты пересылки другим клиентам развертывания через сервер развертывания. Злоумышленник, скомпрометировавший конечную точку Universal Forwarder, может использовать уязвимость для выполнения произвольного кода на всех других конечных точках Universal Forwarder, подписанных на сервер развертывания.
CVE-2021-38454Уязвимость обхода пути в программном обеспечении Moxa MXview Network Management версий 3.x до 3.2.2 может позволить злоумышленнику создавать или перезаписывать критические файлы, используемые для выполнения кода, такие как программы или библиотеки.