V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
AVD

Коррекции базы Anchore

USAnchore, Inc.

Дополнительная лента, накладываемая поверх upstream-источников. Мейнтейнеры Anchore публикуют корректирующие записи, чтобы подавить известные ложные срабатывания и восполнить пробелы в CPE/PURL, из-за которых Grype и аналогичные сканеры могут некорректно оценить систему.

Формат идентификатора
GHSA-xxxx-xxxx-xxxx / custom
Обновления
6 ч
Лицензия
Apache-2.0

Распределение записей

Всего
27189
Критич.
2353
Высок.
8845
Средн.
14823
KEV
70

Охват

Выверенные коррекции базы уязвимостей Anchore/Grype: подавление ложных срабатываний, недостающие привязки CPE и дистрибутив-специфичные бэкпорты исправлений.

Связанные уязвимости

CVE-2026-49261Сервер MariaDB - это разработанная сообществом форк сервера MySQL. Версии 10.6.1 - 10.6.26, 10.11.1 - 10.11.17, 11.4.1 - 11.4.11, 11.8.1 - 11.8.7 и 12.3.1 с `wsrep_notify_cmd` включительно выполняли бы команды оболочки, встроенные в название узла синего. Это исправлено в пунктах 10.6.27, 10.11.18, 11.4.12, 11.8.8 и 12.3.2. В качестве обходного пути любой, кто не может обновиться сейчас, должен отключать `wsrep_notify_cmd`.
CVE-2026-4692Выполнение произвольного кода в Mozilla Firefox
CVE-2026-4689Выполнение произвольного кода в Mozilla Firefox
CVE-2026-46840Уязвимость в службах данных Oracle REST (компонент: Backend-as-a-Service). Поддерживаемые версии, которые затронуты, являются 24.2.0-26.1.0. Легко эксплуатируемая уязвимость позволяет неаутентифицируемому злоумышленнику с доступом к сети через HTTPS скомпрометировать службы Oracle REST Data Services. В то время как уязвимость находится в Oracle REST Data Services, атаки могут значительно повлиять на дополнительные продукты (изменение области). Успешные атаки этой уязвимости могут привести к поглощению Oracle REST Data Services. CVSS 3.1 Базовый балл 10,0 (Влияние конфиденциальности, целостности и доступности). Вектор CVSS: (CVSS:3.1/AV:N/AC:L/N/UI:N/S:C/C/H/I:H/H/A:H/A:H).
CVE-2026-46595Ранее CVE-2024-45337 фиксировал авторизационный обход для неправильно используемых конфигураций ssh-сервера; если любой другой тип обратного вызова передается, кроме публичного ключа, то проверка исходного адреса будет пропущена.
CVE-2026-45631Dokploy - это бесплатная, самостоятельный Платформа как услуга (PaaS). С 0.27.0 до 0.29.3, жесткий зад Code BETTER_AUTH_SECRET (Better-auth-seret-123456789) позволяет неаутентифицированному злоумышленнику создавать JWT проверки электронной почты, запускать автоматический вход в качестве администратора и выполнять команды на хосте через встроенный терминал SSH. Эта уязвимость фиксируется в 0.29.3.
CVE-2026-45444Неограниченная загрузка файла с уязвимостью опасного типа в подарочной картах WP Swings для WooCommerce Pro позволяет использовать вредоносные файлы. Эта проблема затрагивает подарочная карта для WooCommerce Pro: от n/a до 4.2.6.
CVE-2026-44523Note Mark - это приложение для заметок с открытым исходным кодом. До 0.19.4 минимальная длина или энтропия не применяется в значении конфигурации JWT_SECRET. Приложение принимает любой базовый 64-декодируемый секрет независимо от размера, включая секреты, короткие до 1 байта. Эта уязвимость фиксируется в пункте 0,19.4.
CVE-2026-44330Free5GC - это реализация с открытым исходным кодом базовой сети 5G. До 4.2.2, Free5GC's NEF управляет группой маршрутов управления nofdfd без входящей авторизации OAuth2/предвестника. Сетевой злоумышленник, который может достичь NEF на SBI, может использовать поддельный или произвольный токен наносителей (например. Авторизация: Несущий не-реальный-токен) для чтения данных приложения PFD через GET /applications и GET /applications/{appID}, а также для создания или удаления подписок с изменениями PFD через POST /subscriptions и DELETE /subscriptions/{subID}. Тая же первопричина, что и другие выводы NEF SBI: группа маршрутов монтируется без какого-либо входящей промежуточной программы. В отличие от OAM и групп влияния на трафик, управление НПФ-управления декларированы в ServiceList, так что это путь, предназначенный для производства, который операторы ожидают, что он будет защищен настройкой OAuth2, который получает от NRF: верно - и это не так. Эта уязвимость зафиксирована в 4.2.2.
CVE-2026-44329Free5GC - это реализация с открытым исходным кодом базовой сети 5G. До 4.2.2 SMF free5GC монтирует группу маршрутов управления UPI без промежуточной программы для авторизации OAuth2/bearer-token. Сетевой злоумышленник, который может достичь SMF на SBI, может поразить конечные точки UPI без заголовка авторизации вообще, и запросы попадают в бизнес-обработчиков SMF. В бегущих лабораториях Docker это было непосредственно продемонстрировано для чтения (GET /upi/v1/upNodesLinks), записи (POST /upi/v1/upNodesLinks с управляемым злоумышленником UP-ундом и полезной нагрузкой ссылки) и удаления (DELETE /upi/v1/upNodesLinks/{nodeID}) операций. Эта уязвимость зафиксирована в 4.2.2.
CVE-2026-44327Free5GC - это реализация с открытым исходным кодом базовой сети 5G. До 4.2.2, NEF free5GC устанавливает группу маршрутов unef-oam без авторизации входящий OAuth2/предъявителя. Сетевой злоумышленник, который может добраться до NEF на SBI, может поразить маршрут OAM без заголовка авторизации вообще, и обработчик возвращает 200 ОК. Текущий обработчик OAM - это заглушка, которая возвращается нулевым, но структурный дефект связан с группой маршрутов: вся группа маршрутов OAM не имеет входящей промежуточной программы, поэтому каждая будущая операция OAM, добавленная в эту группу, по умолчанию наследует отсутствующую границу. Эта уязвимость зафиксирована в 4.2.2.
CVE-2026-44006vm2 - это vm/sandbox с открытым исходным кодом для Node.js. До 3.11.0 можно добраться до BaseHandler.getPrototypeOf, который можно использовать для получения произвольных прототипов. Эта уязвимость фиксируется в 3.11.0.
CVE-2026-44005vm2 - это vm/sandbox с открытым исходным кодом для Node.js. От 3.9.6 до 3.10.5 мост vm2 обнажает изменчивые прокси для реальных прототипов, а затем перенаправляет песочницу записывает в базовые объекты-хозяева с другим регулируемым SeflectSet() и другимReflectDefineProperty(), что позволяет управляемому злоумышленником JavaScript работать в VM по умолчанию или унаследованном узловом мутате.11.0.
CVE-2026-43997vm2 - это vm/sandbox с открытым исходным кодом для Node.js. До 3.11.0 можно получить объект-хозяин. Существуют различные способы использования объекта хоста, чтобы избежать песочницы, одним из примеров будет использование HostObject.getOnPropertySymbols для получения Symbol(nodejs.util.inspect.custom). Эта уязвимость исправлена в 3.11.0.
CVE-2026-42288ChurchCRM - это система управления церковью с открытым исходным кодом. До 7.3.2 исправление для CVE-2026-39337 является неполным. Устранение удаленного выполнения кода перед аутентичностью в мастере настройки ChurchCRM через несаниционированный DB_PASSWORD остается полностью эксплуатируемым Эта уязвимость исправлена в 7.3.2.
Перейти на сайт ↗