Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
W Microsoft Exchange Server występuje niewłaściwe neutralizowanie danych wejściowych podczas generowania stron internetowych, co prowadzi do podatności na ataki typu 'cross-site scripting'. Taki błąd umożliwia nieautoryzowanemu atakującemu przeprowadzenie oszustwa w sieci.
W podatności CVE-2026-20182 zidentyfikowano problem z mechanizmem uwierzytelniania w Cisco Catalyst SD-WAN Controller, Manager i Validator, który umożliwia nieautoryzowanemu atakującemu ominięcie uwierzytelnienia i uzyskanie uprawnień administracyjnych. Atakujący może wykorzystać tę lukę, wysyłając spreparowane żądania do systemu.
W podatności CVE-2026-0257 występują luki w autoryzacji w portalu GlobalProtect oraz bramie oprogramowania PAN-OS® firmy Palo Alto Networks, które umożliwiają atakującemu ominięcie zabezpieczeń i nawiązanie nieautoryzowanego połączenia VPN.
W dniu 11 maja 2026 roku opublikowano 84 złośliwe wersje w 42 pakietach @tanstack/* w rejestrze npm. Atakujący wykorzystał trzy znane klasy podatności, aby opublikować złośliwe oprogramowanie kradnące dane uwierzytelniające pod zaufaną tożsamością.
LiteLLM w wersjach od 1.74.2 do 1.83.6 zawiera podatność w endpointach POST /mcp-rest/test/connection i POST /mcp-rest/test/tools/list, które akceptują pełną konfigurację serwera MCP, w tym polecenia do wykonania. Uwierzytelniony użytkownik z dowolnym kluczem API (nawet niskiego poziomu) może uruchomić dowolne polecenie na hoście proxy.
W wersjach LiteLLM od 1.81.16 do 1.83.7 występuje podatność polegająca na wstrzykiwaniu zapytań SQL podczas sprawdzania kluczy API. Niezautoryzowany atakujący może wysłać spreparowany nagłówek Authorization, co prowadzi do odczytu i potencjalnej modyfikacji danych w bazie proxy.
W Ivanti EPMM przed wersjami 12.6.1.1, 12.7.0.1 i 12.8.0.1 występuje niewłaściwa walidacja danych wejściowych, która pozwala zdalnie uwierzytelnionemu użytkownikowi z dostępem administracyjnym na zdalne wykonanie kodu.
W jądrze Linuxa wycofano optymalizację operacji w miejscu (in-place) w algorytmie szyfrowania AEAD przez gniazda AF_ALG. Przywrócono działanie poza miejscem (out-of-place), ponieważ źródło i cel pochodzą z różnych mapowań pamięci, co czyniło optymalizację niekorzystną. Usunięto złożoność dodaną dla operacji w miejscu, kopiując dane skojarzone bezpośrednio.
Podatność w Apache ActiveMQ umożliwia uwierzytelnionemu atakującemu zdalne wykonanie kodu poprzez endpoint Jolokia JMX-HTTP. Wykorzystuje ona nieprawidłową walidację wejścia i kontrolę generowania kodu, co prowadzi do wstrzyknięcia kodu.
Podatność w mechanizmie uwierzytelniania peeringu w Cisco Catalyst SD-WAN Controller, Manager i Validator umożliwia zdalnemu atakującemu bez uwierzytelnienia ominięcie procesu logowania i uzyskanie uprawnień administracyjnych na podatnym systemie.
W Fortinet FortiAnalyzer, FortiManager, FortiNAC-F, FortiOS, FortiProxy oraz FortiWeb występuje podatność na obejście uwierzytelnienia, która pozwala atakującemu z kontem FortiCloud i zarejestrowanym urządzeniem na zalogowanie się do innych urządzeń zarejestrowanych na innych kontach, jeśli na tych urządzeniach włączono uwierzytelnianie SSO FortiCloud.
Zaufanie do niezweryfikowanych danych wejściowych w decyzji bezpieczeństwa w Microsoft Office umożliwia nieautoryzowanemu atakującemu lokalne obejście funkcji zabezpieczeń.
W Fortinet FortiOS, FortiProxy i FortiSwitchManager występuje podatność związana z niewłaściwą weryfikacją podpisu kryptograficznego, która pozwala nieautoryzowanemu atakującemu na ominięcie uwierzytelniania logowania SSO FortiCloud za pomocą spreparowanej wiadomości SAML.
Moduł Endpoint Manager w FreePBX, w wersjach 17.0.2.36 i wyższych przed 17.0.3, jest podatny na wstrzyknięcie poleceń po uwierzytelnieniu przez znanego użytkownika. Atakujący może wykorzystać tę podatność do uzyskania zdalnego dostępu do systemu jako użytkownik asterisk.
FreePBX, otwartoźródłowy interfejs graficzny, ma luki w wersjach 15, 16 i 17, które wynikają z niewystarczającego oczyszczania danych dostarczanych przez użytkowników. Umożliwia to nieautoryzowany dostęp do administratora FreePBX, co prowadzi do manipulacji bazą danych i zdalnego wykonania kodu.
Podatność w WebKit umożliwia uszkodzenie pamięci podczas przetwarzania złośliwie spreparowanych treści internetowych. Problem został rozwiązany poprzez poprawę obsługi pamięci.
Nieprawidłowa implementacja algorytmu uwierzytelniania w Ivanti vTM, z wyjątkiem wersji 22.2R1 lub 22.7R2, umożliwia zdalnemu, nieautoryzowanemu atakującemu ominięcie uwierzytelnienia panelu administracyjnego.
Podatność w produkcie Oracle WebLogic Server w ramach Oracle Fusion Middleware (komponent: Core) dotyczy wersji 12.2.1.4.0 oraz 14.1.1.0.0. Łatwo eksploatowalna podatność pozwala nieautoryzowanemu atakującemu z dostępem do sieci na kompromitację Oracle WebLogic Server.
W Qlik Sense Enterprise dla systemu Windows zidentyfikowano podatność typu path traversal, która występuje w wersjach do maja 2023 Patch 3, lutego 2023 Patch 7, listopada 2022 Patch 10 oraz sierpnia 2022 Patch 12. Umożliwia to nieautoryzowanemu zdalnemu atakującemu generowanie anonimowej sesji i przesyłanie żądań HTTP do nieautoryzowanych punktów końcowych.
W Qlik Sense Enterprise dla systemu Windows zidentyfikowano podatność na tunelowanie żądań HTTP, która dotyczy wersji z maja 2023 Patch 3 i wcześniejszych, lutego 2023 Patch 7 i wcześniejszych, listopada 2022 Patch 10 i wcześniejszych oraz sierpnia 2022 Patch 12 i wcześniejszych. Umożliwia to zdalnemu atakującemu podniesienie swoich uprawnień poprzez tunelowanie żądań HTTP w surowym żądaniu HTTP.

