V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
nvd,anchore_overrides,debian

Debian

Уязвимости
59650
Эксплуатируемые
280
Критический
4737
Высокий
18914

Топ продуктов

Debian Linux10060Chromium3179Firefox1940Chromium-browser1822Gitlab1378Firefox-esr1153Iceweasel1088Thunderbird1011Imagemagick768Icedove744Wireshark738Openjdk-6703Webkit2gtk680Moodle657Openjdk-7631Mysql-8.0625Iceape568Php5560Mysql-5.5521Ffmpeg511

Топ уязвимостей

CVE-2026-49261Сервер MariaDB - это разработанная сообществом форк сервера MySQL. Версии 10.6.1 - 10.6.26, 10.11.1 - 10.11.17, 11.4.1 - 11.4.11, 11.8.1 - 11.8.7 и 12.3.1 с `wsrep_notify_cmd` включительно выполняли бы команды оболочки, встроенные в название узла синего. Это исправлено в пунктах 10.6.27, 10.11.18, 11.4.12, 11.8.8 и 12.3.2. В качестве обходного пути любой, кто не может обновиться сейчас, должен отключать `wsrep_notify_cmd`.
CVE-2026-47691Netty - это сетевое приложение для разработки протокольных серверов и клиентов. До версий 4.1.135.Final и 4.2.15.Final, Netty's 'DnsResolveContext` недостаточно подтверждает бейливик записей NS, что позволяет DNS Cache Poisoning. Злоумышленник, управляющий авторитетным сервером имен для поддомена, может отравить кэш для родительских доменов (например, `.co.uk`). В методе `io.netty.resolver.dns.DnsResolveContext.AuthoritativeNameServerList#add` принимает любую запись NS из раздела AUTHORITY, если имя записи является суффиксом вопросного Имен. Впоследствии метод "рукадуWithWithAdditional" кэширует связанные записи A из ДОПОЛНИТЕЛЬНОГО раздела непосредственно в "авторитативного" сервераCache` под ключом родительского домена. Это обходит стандартные правила biliwick, где серверу, авторитетному для поддомена, не следует доверять, чтобы предоставить авторитетные записи для своего родителя. Затем отравленный кэш используется для всех будущих разрешений под ключом родительского домена. Версии 4.1.135.Final и 4.2.15.Final patch выпуск.
CVE-2026-4725Выполнение произвольного кода в Mozilla Firefox
CVE-2026-4692Выполнение произвольного кода в Mozilla Firefox
CVE-2026-4689Выполнение произвольного кода в Mozilla Firefox
CVE-2026-4688Выполнение произвольного кода в Mozilla Firefox
CVE-2026-46595Ранее CVE-2024-45337 фиксировал авторизационный обход для неправильно используемых конфигураций ssh-сервера; если любой другой тип обратного вызова передается, кроме публичного ключа, то проверка исходного адреса будет пропущена.
CVE-2026-45674Netty - это сетевая система приложений для разработки протокольных серверов и клиентов. До версий 4.1.135.Final и 4.2.15.Final, Netty's DnsResolveContext не в состоянии подтвердить происхождение (bailiwick) записей CNAME в ответах DNS. Версии 4.1.135.Финал и 4.2.15.Окончательный патч выпуск.
CVE-2026-4370Уязвимость была идентифицирована в Juju от версии 3.2.0 до 3.6.19 и от версии 4.0 до 4.0.4, где внутренний кластер базы данных Dqlite не выполняет надлежащую аутентификацию TLS-клиента и сервера. В частности, конечная точка базы данных контроллера Juju не проверяет сертификаты клиента, когда новый узел пытается присоединиться к кластеру. Неаутентифицированный злоумышленник с доступностью сети к порту Dqlite контроллера Juju может использовать этот недостаток для присоединения к кластеру базы данных. После присоединения злоумышленник получает полный доступ к основной базе данных, что позволяет получить полный компрометацию данных.
CVE-2026-42043Axios - это основанный на обещании HTTP-клиент для браузера и Node.js. До 1.15.1 и 0.31.1 злоумышленник, который может влиять на целевой URL-адрес запроса Axios, может использовать любой адрес в диапазоне 127.0.0.0/8 (кроме 127.0.0.1), чтобы полностью обойти защиту NO_PREXY. Эта уязвимость обусловлена неполной для CVE-2025-62718, эта уязвимость исправлена в 1.15.1 и 0.31.1.
CVE-2026-41070openvpn-auth-oauth2 - это клиент интерфейса плагина/управления для сервера OpenVPN для обработки одноразовых потоков (SSO) на основе OIDC. От версии 1.26.3 до версии 1.27.3, когда openvn-auth-outh2 развертывается в экспериментальном режиме плагина (общая библиотека, загруженная OpenVPN через директиву плагина), клиенты, которые не поддерживают WebAuth/SSO (например, openvn CLI в Linux), неправильно допускаются в VPN, несмотря на отказ в логике аутентификации. Режим управления-интерфейс по умолчанию не затрагивается, поскольку он не использует механизм обратного кода плагина OpenVPN. Этот вопрос был исправлен в версии 1.27.3.
CVE-2026-28353Trivy Vulnerability Scanner - это расширение VS-кода, которое помогает найти уязвимости. В Trivy VScoode Extension версии 1.8.12, которая распространялась через OpenVSX, была скомпрометирована и содержала вредоносный код, предназначенный для использования локального кодирующего агента ИИ для сбора и эксфильтрации конфиденциальной информации. Пользователям, использующим пораженный артефакт, рекомендуется немедленно удалить его и повернуть секрет окружающей среды. Вредоносный артефакт был удален с рынка. Других затронутых артефактов выявлено не было.
CVE-2026-2778Выполнение произвольного кода в Mozilla Firefox и Thunderbird ESR
CVE-2026-2776Выполнение произвольного кода в Mozilla Firefox и Thunderbird ESR
CVE-2026-2768Выполнение произвольного кода в Mozilla Firefox и Thunderbird ESR
CVE-2026-2761Выполнение произвольного кода в Mozilla Firefox и Thunderbird ESR
CVE-2026-2760Выполнение произвольного кода в Mozilla Firefox и Thunderbird ESR
CVE-2026-25150Qwik - это фреймворк, ориентированный на производительность. До версии 1.19.0 в промежуточной посуде @builder.io/qwik-city существует уязвимость прототипа в формеToObj(). Функциональные процессы формируют имена полей с обозначением точки (например, user.name) для создания вложенных объектов, но не могут санировать имена опасных свойств, такие как __proto__, конструктор и прототип. Это позволяет неаутентифицированным злоумышленникам загрязнять Object.prototype, отправляя созданные HTTP POST-запросы, что может привести к эскалации привилегий, обходу аутентификации или отказу в обслуживании. Этот вопрос был исправлен в версии 1.19.0.
CVE-2026-24810Буферная копия без проверки размера ввода («Класический переполнение буфера») в уязвимости в переосмысленном (src/cjson modules). Эта уязвимость связана с программными файлами cJSON.Cc. Эта проблема затрагивает переосмысление: через v2.4.4.
CVE-2026-21636Недостаток в модели разрешения Node.js позволяет соединениям Unix Domain Socket (UDS) обходить сетевые ограничения, когда «--разрешение включено». Даже без `--all-net-net входов, контролируемых злоумышленниками (такими как URL-адреса или опции socketPath) могут подключаться к произвольным локальным розеткам через net, tls или unddici/fetch. Это нарушает предполагаемую границу безопасности модели разрешения и обеспечивает доступ к привилегированным местным услугам, что потенциально может привести к эскалации привилегий, раскрытию данных или исполнению местного кода. * Проблема затрагивает пользователей модели разрешения Node.js на версии v25. В момент этой уязвимости сетевые разрешения (`-- пуск-net``) все еще находятся в экспериментальной фазе.
CVE-2026-0881Выполнение произвольного кода в Mozilla Thunderbird
CVE-2026-0848Версии NLTK <=3.9.2 уязвимы для произвольного выполнения кода из-за неправильной валидации ввода в модуле StanfordSegmenter. Модуль динамически загружает внешние файлы Java .jar без проверки или песочницы. Злоумышленник может поставлять или заменять JAR-файл, что позволяет выполнять произвольный байт-код Java в момент импорта. Эта уязвимость может быть использована с помощью таких методов, как отравление моделей, атаки MITM или отравление зависимостей, что приводит к удаленному исполнению кода. Проблема возникает из-за прямого исполнения файла JAR через подпроцесс с непроверенным вводом по пути по классу, что позволяет вредоносным классам выполнять при загрузке JVM.
CVE-2025-68121Получение конфиденциальной информации в Go programming language
CVE-2025-67108Было обнаружено, что eProsima Fast-DDS v3.3 содержит ненадлежащую проверку отзыва билетов, что приводит к небезопасным коммуникациям и соединениям.
CVE-2025-58367DeepDiff — проект, посвященный глубокому сравнению и поиску различий в данных Python. Версии с 5.0.0 по 8.6.0 уязвимы к загрязнению класса через конструктор Delta, что может привести к отказу в обслуживании и удаленному выполнению кода (через небезопасную десериализацию Pickle). Уязвимость позволяет злоумышленнику выполнить произвольный код Python, если входные данные для Delta контролируются пользователем. Это исправлено в версии 8.6.1 [1]. Уязвимость позволяет атакующему изменить `deepdiff.serialization.SAFE_TO_IMPORT`, разрешив небезопасные классы, такие как `posix.system`, и затем выполнить небезопасную десериализацию Pickle через класс Delta. Источники: - [1] https://github.com/seperman/deepdiff/security/advisories/GHSA-mw26-5g2v-hqw3 - [2] https://github.com/seperman/deepdiff/commit/c69c06c13f75e849c770ade3f556cd16209fd183 - [3] https://github.com/seperman/deepdiff/releases/tag/8.6.1
Открыть в каталоге с фильтром по вендору →