Daghang delikado nga mga kahuyangan ang bag-o lang nailhan:
- Unom ka mga kahuyangan ang anaa sa rsync file synchronization utility. Ang pinakagrabe nga isyu (CVE-2026-29518), nga gipahinabo sa usa ka race condition sa pagdumala sa mga symbolic link, nagtugot sa pagpataas sa pribilehiyo kung nagpadagan sa rsync sa background nga walaβy chroot isolation. Ang pag-atake gihimo pinaagi sa pag-ilis sa usa ka file og symbolic link nga nagtudlo sa usa ka arbitraryong file sa sistema, pagkahuman sa pagsusi apan sa wala pa magsugod ang operasyon sa pagsulat. Ang mga kahuyangan giayo sa rsync 3.4.3. Mga CVE sa mga distribusyon: Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch.
- Ang mga kahuyangan (CVE-2026-8631) sa HPLIP, usa ka hugpong sa open-source printer ug MFP drivers, nagtugot sa pagpataas sa pribilehiyo ug pagpatuman sa code. Kini nga mga isyu gipahinabo sa pag-ilis sa sugo ug pag-awas sa buffer. Ang mga kahuyangan giayo sa HPLIP 3.26.4. Mga CVE sa mga distribusyon: Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch.
- Adunay mga kahuyangan sa serbisyo sa D-Bus nga gigamit sa qSnapper, usa ka graphical interface para sa pagdumala sa mga snapshot sa Btrfs. Kini nga mga kahuyangan mahimong mosangpot sa pagpataas sa pribilehiyo (CVE-2026-41046), pagtulo sa impormasyon bahin sa mga pagbag-o tali sa mga snapshot (CVE-2026-41047), ug paglaktaw sa authentication kung mo-access sa Polkit (CVE-2026-41045). Ang pinakagrabe nga kahuyangan gipahinabo sa nawala nga tseke para sa mga karakter nga "../" sa mga agianan nga gipasa sa function nga snapper::Snapper() kung mo-access pinaagi sa D-Bus. Mahimo kini gamiton aron i-spoof ang libsnapper configuration file sa usa ka handler nga nagdagan nga adunay taas nga mga pribilehiyo.
CVE sa mga distribusyon: Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch. - Usa ka kahuyangan (CVE-2026-48095) sa 7-Zip archiver ang mosangpot sa buffer overflow kon magproseso sa compressed NTFS data. Kini nga kahuyangan mahimong mosangpot sa pag-execute sa attacker code kon mo-access sa usa ka espesyal nga gihimo nga NTFS file system image pinaagi sa 7-Zip. Ang kahuyangan naayo na sa 7-Zip version 26.01. Mga CVE sa mga distribusyon: Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch.
- Ang wala ma-bound nga DNS server 1.25.1 nakaayo og 11 ka mga kahuyangan. Ang pinakagrabe nga mga kahuyangan mao ang CVE-2026-33278 (posibleng remote code execution atol sa DNSSEC validation), CVE-2026-44608 (use-after-freed memory sa RPZ code), ug CVE-2026-42944 (heap overflow atol sa nsid processing). Mga CVE sa mga distribusyon: Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch.
- Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡΡ (CVE-2026-3593) Π² DNS-ΡΠ΅ΡΠ²Π΅ΡΠ΅ BIND, ΠΏΠΎΠ·Π²ΠΎΠ»ΡΡΡΠ°Ρ Π²ΡΠ·Π²Π°ΡΡ ΠΎΠ±ΡΠ°ΡΠ΅Π½ΠΈΠ΅ ΠΊ ΠΏΠ°ΠΌΡΡΠΈ ΠΏΠΎΡΠ»Π΅ Π΅Ρ ΠΎΡΠ²ΠΎΠ±ΠΎΠΆΠ΄Π΅Π½ΠΈΡ ΠΈ ΠΏΠΎΠ²ΡΠ΅ΠΆΠ΄Π΅Π½ΠΈΠ΅ ΡΠΎΠ΄Π΅ΡΠΆΠΈΠΌΠΎΠ³ΠΎ ΠΏΠ°ΠΌΡΡΠΈ ΡΠ΅ΡΠ΅Π· ΠΎΡΠΏΡΠ°Π²ΠΊΡ ΡΠΏΠ΅ΡΠΈΠ°Π»ΡΠ½ΠΎ ΠΎΡΠΎΡΠΌΠ»Π΅Π½Π½ΠΎΠ³ΠΎ Π·Π°ΠΏΡΠΎΡΠ° ΠΊ server DNS-over-HTTPS. ΠΡΠΎΠ±Π»Π΅ΠΌΠ° ΡΡΡΡΠ°Π½Π΅Π½Π° Π² Π²Π΅ΡΡΠΈΡΡ BIND 9.20.23 ΠΈ 9.21.22. ΠΠΎΠ½ΡΠΈΠ³ΡΡΠ°ΡΠΈΠΈ Π½Π΅ ΠΈΡΠΏΠΎΠ»ΡΠ·ΡΡΡΠΈΠ΅ DNS-over-HTTPS ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΠΈ Π½Π΅ ΠΏΠΎΠ΄Π²Π΅ΡΠΆΠ΅Π½Ρ. CVE Π² Π΄ΠΈΡΡΡΠΈΠ±ΡΡΠΈΠ²Π°Ρ : Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch.
- Usa ka kahuyangan (CVE-2026-47243) sa Kata Containers, usa ka container execution stack nga naggamit og virtualization-based isolation, nagtugot sa mga root privileges sa usa ka container sa paghimo og symbolic link sa host system. Pinaagi sa paghimo og symbolic link sa /etc/cron.d, ang mga tiggamit makapatuman og custom code nga adunay root privileges sa host environment. Ang kahuyangan gipahinabo sa abilidad sa pagpadala og direktang FUSE_SYMLINK request ngadto sa virtiofsd handler nga nagdagan sa host. Ang isyu makita kon mogamit og runtime-rs ug naayo na sa release 3.31.0.
CVE sa mga distribusyon: Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch.
- Usa ka kahuyangan (CVE-2026-46529) sa Atril document viewer ang nagtugot sa pag-execute sa attacker code kon mag-klik sa link sulod sa espesyal nga gihimo nga PDF file nga naghiusa sa PDF document ug ELF library. Adunay exploit nga magamit. Usa ka susamang isyu ang anaa sa Evince ug Xreader PDF viewers. Ang isyu gipahinabo sa kakulang sa escape para sa shell nga nagkutlo sa mga espesyal nga karakter sa ev_spawn() function. Ang kahuyangan naayo na sa Evince 48.2, Atril 1.28.4/1.26.3, ug Xreader 4.6.4/3.6.7. Mga CVE sa mga distribusyon: Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch.
- Usa ka kahuyangan (CVE unassigned) sa Yelp help viewer (GNOME Help) nagtugot sa pag-access sa mga host system file pinaagi sa paglaktaw sa Flatpak package sandbox pinaagi sa pag-abli sa usa ka espesyal nga gihimo nga help file. Ang kahuyangan susama sa isyu sa miaging tuig ug lahi tungod kay kini naggamit og mga estilo sa CSS nga gisulod sa usa ka SVG file alang sa estilo. Ang isyu naayo na sa Yelp 49.1.
- Usa ka kahuyangan (CVE-2026-41054) sa hageged, usa ka proseso sa background nga nagmugna og entropy para sa usa ka pseudo-random number generator, nagtugot sa pagpataas sa pribilehiyo ngadto sa root user pinaagi sa pagpadala og espesyal nga gihimo nga sugo pinaagi sa Unix control socket. Ang isyu naayo na sa hageged 1.9.21. Mga CVE sa mga distribusyon: Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch.
- 11 ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΠ΅ΠΉ Π² Π‘Π£ΠΠ PostgreSQL, Π½Π°ΠΈΠ±ΠΎΠ»Π΅Π΅ ΠΎΠΏΠ°ΡΠ½Π°Ρ ΠΈΠ· ΠΊΠΎΡΠΎΡΡΡ
(CVE-2026-6637) ΠΌΠΎΠΆΠ΅Ρ ΠΏΡΠΈΠ²Π΅ΡΡΠΈ ΠΊ Π²ΡΠΏΠΎΠ»Π½Π΅Π½ΠΈΡ ΠΊΠΎΠ΄Π° Π½Π° ΡΡΠΎΠ²Π½Π΅ ΠΎΠΏΠ΅ΡΠ°ΡΠΈΠΎΠ½Π½ΠΎΠΉ ΡΠΈΡΡΠ΅ΠΌΡ Ρ ΠΏΡΠ°Π²Π°ΠΌΠΈ ΡΠ΅ΡΠ²Π΅ΡΠ½ΠΎΠ³ΠΎ ΠΏΡΠΎΡΠ΅ΡΡΠ° PostgreSQL ΠΏΡΠΈ Π²ΡΠΏΠΎΠ»Π½Π΅Π½ΠΈΠΈ ΡΠΏΠ΅ΡΠΈΠ°Π»ΡΠ½ΠΎ ΠΎΡΠΎΡΠΌΠ»Π΅Π½Π½ΡΡ
SQL-Π·Π°ΠΏΡΠΎΡΠΎΠ² (Π°ΡΠ°ΠΊΡΡΡΠΈΠΉ Π΄ΠΎΠ»ΠΆΠ΅Π½ ΠΈΠΌΠ΅ΡΡ Π½Π΅ΠΏΡΠΈΠ²ΠΈΠ»Π΅Π³ΠΈΡΠΎΠ²Π°Π½Π½ΡΠΉ Π΄ΠΎΡΡΡΠΏ ΠΊ Π‘Π£ΠΠ). ΠΡΡΠ³Π°Ρ ΠΎΠΏΠ°ΡΠ½Π°Ρ ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΡ (CVE-2026-6475) ΠΏΠΎΠ·Π²ΠΎΠ»ΡΠ΅Ρ ΠΏΠ΅ΡΠ΅Π·Π°ΠΏΠΈΡΠ°ΡΡ ΡΠ°ΠΉΠ»Ρ Π½Π° server (Π½Π°ΠΏΡΠΈΠΌΠ΅Ρ, /var/lib/postgres/.bashrc) ΡΠ΅ΡΠ΅Π· ΠΌΠ°Π½ΠΈΠΏΡΠ»ΡΡΠΈΠΈ Ρ ΡΠΈΠΌΠ²ΠΎΠ»ΠΈΡΠ΅ΡΠΊΠΈΠΌΠΈ ΡΡΡΠ»ΠΊΠ°ΠΌΠΈ ΠΏΡΠΈ Π²ΡΠΏΠΎΠ»Π½Π΅Π½ΠΈΠΈ ΠΎΠΏΠ΅ΡΠ°ΡΠΈΠΉ Ρ pg_basebackup ΠΈ pg_rewind. ΠΡΠΎΠ±Π»Π΅ΠΌΡ ΡΡΡΡΠ°Π½Π΅Π½Ρ Π² Π²ΡΠΏΡΡΠΊΠ°Ρ
PostgreSQL 18.4, 17.10, 16.14, 15.18 ΠΈ 14.23. Π’Π°ΠΊΠΆΠ΅ ΠΌΠΎΠΆΠ½ΠΎ ΠΎΡΠΌΠ΅ΡΠΈΡΡ ΠΏΡΠ±Π»ΠΈΠΊΠ°ΡΠΈΡ ΡΠ°Π±ΠΎΡΠ΅Π³ΠΎ ΡΠΊΡΠΏΠ»ΠΎΠΈΡΠ° Π΄Π»Ρ ΡΠ°Π½Π΅Π΅ Π²ΡΡΠ²Π»Π΅Π½Π½ΠΎΠΉ ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΠΈ (CVE-2026-2005) Π² ΡΠ°ΡΡΠΈΡΠ΅Π½ΠΈΠΈ pgcrypto.
CVE sa mga distribusyon: Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch.
- Napulog-unom ka mga kahuyangan ang nakit-an sa sistema sa pag-ila ug pagpugong sa pagsulod sa network sa Suricata, upat niini ang gi-rate nga kritikal. Ang mga detalye sa mga kahuyangan wala pa gibutyag sa publiko, apan base sa ilang lebel sa kagrabe, gitugotan niini ang pagpatuman sa code sa server kung gisusi ang espesyal nga gihimo nga trapiko. Ang mga kahuyangan naayo na sa Suricata 8.0.5 ug 7.0.16.
- Usa ka kahuyangan (CVE-2026-8053) sa MongoDB Server ang nagtugot sa usa ka tiggamit nga adunay write access sa database nga mag-trigger sa usa ka buffer overflow ug mo-execute sa arbitrary code sa server nga adunay mga pribilehiyo sa mongod process. Ang kahuyangan naayo na sa MongoDB 5.0.33, 6.0.28, 7.0.34, 8.0.23, 8.2.9, ug 8.3.2. Mga CVE sa mga distribusyon: Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch.
- Napulo ka mga kahuyangan (wala gi-assign ang CVE) sa Memcached in-memory data caching system ang nadiskobrehan, ang pinakagrabe niini miresulta sa buffer overflows sa pagpadala og espesyal nga gihimo nga mga hangyo ug posibleng magamit sa pagpatuman sa code sa server. Ang mga kahuyangan giayo sa Memcached 1.6.42.
Source: opennet.ru
