Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-55688
Średnie

Biblioteka AsyncHttpClient (AHC) w wersjach od 2.0.0 do 2.15.0 oraz od 3.0.0.Beta1 do 3.0.10 zawiera podatność w ThreadSafeCookieStore, która nie weryfikuje, czy host odpowiadający ma prawo ustawić ciasteczko dla domeny. Umożliwia to atakującemu hostowi wstrzyknięcie ciasteczka dla niepowiązanej domeny, które klient następnie wysyła do tej domeny.

CVE-2026-54908
Średnie

Biblioteka Pion DTLS w wersjach przed 3.1.4 zawiera podatność na zdalną odmowę usługi (DoS) poprzez wysłanie spreparowanej wiadomości ECDHE_PSK ServerKeyExchange, która powoduje panic w trakcie parsowania. Problem został naprawiony w wersji 3.1.4.

CVE-2026-54164
Średnie

Podatność w API Platform Core przed wersjami 4.1.30, 4.2.26 i 4.3.12 umożliwia atakującemu podmianę typu zasobu w relacjach IRI. Brak walidacji typu zwracanego zasobu w AbstractItemNormalizer pozwala na przypisanie obiektu niezgodnego z deklarowanym typem relacji.

CVE-2026-49858
Średnie

W API Platform Core w wersjach od 2.6.0 do 4.1.29, 4.2.26 i 4.3.12 brak bramki isCacheKeySafe w normalizatorach JSON:API i HAL powoduje wyciek atrybutów między użytkownikami. Mechanizm cache'owania komponentów (atrybuty, relacje, linki) oparty na kluczu kontekstu może być ponownie użyty dla żądania innego użytkownika z różnymi uprawnieniami, co prowadzi do ujawnienia właściwości, które powinny być ukryte.

CVE-2026-14363
Średnie

Podatność SQL Injection w rozszerzeniu Cargo dla MediaWiki umożliwia atakującemu wstrzyknięcie złośliwego kodu SQL. Problem dotyczy wersji przed 1.43.9, 1.44.6 oraz 1.45.4.

CVE-2026-58517
Średnie

Podatność w rozszerzeniu WikiLambda dla MediaWiki umożliwia ominięcie uwierzytelniania z powodu nieprawidłowej neutralizacji terminatorów wejścia. Problem dotyczy wersji przed 1.43.9, 1.44.6 i 1.45.4.

CVE-2026-58451
Średnie

Horde IMP przed wersją 7.0.1 zawiera podatność na path traversal w pliku lib/Compose.php. Uwierzytelnieni atakujący mogą odczytać dowolne pliki z systemu plików serwera, osadzając sekwencje traversal po prefiksie ścieżki CKEditor w adresach URL img src. Atakujący mogą ominąć walidację prefiksu stripos() poprzez dodanie sekwencji traversal po pasującym prefiksie, co powoduje, że file_get_contents() odczytuje wrażliwe pliki, a ich zawartość jest eksfiltrowana jako części MIME w wychodzących wiadomościach e-mail; możliwe jest również wykorzystanie bez uwierzytelnienia poprzez CSRF przeciwko aktywnej sesji uwierzytelnionego użytkownika.

CVE-2026-55628
Średnie

W wersjach przed 7.1.2-26he operacja `-concatenate` nie sprawdzała polityk bezpieczeństwa, co mogło pozwolić na odczyt i zapis do ścieżek zabronionych przez politykę. Problem został naprawiony w wersji 7.1.2-26.

CVE-2026-55597
Średnie

W ImageMagick przed wersją 7.1.2-26 stwierdzono podatność na przepełnienie bufora sterty w enkoderze JP2 spowodowane nieprawidłowym przetwarzaniem argumentów. Problem został naprawiony w wersji 7.1.2-26.

CVE-2026-55595
Średnie

W ImageMagick przed wersjami 6.9.13-51 i 7.1.2-26, podanie nieprawidłowych argumentów do opcji connected-components powoduje nieskończoną pętlę. Problem został naprawiony w wymienionych wersjach.

CVE-2026-55594
Średnie

W ImageMagick przed wersjami 6.9.13-51 i 7.1.2-26 brak sprawdzenia głębi w dekoderze MVG powoduje przepełnienie stosu przy przetwarzaniu spreparowanego obrazu.

CVE-2026-55577
Średnie

W ImageMagick przed wersjami 6.9.13-51 i 7.1.2-26 występuje przepełnienie bufora sterty w dekoderze MVG, które może prowadzić do zapisu poza zakresem podczas przetwarzania spreparowanego obrazu.

CVE-2026-55510
Średnie

W ImageMagick przed wersjami 6.9.13-51 i 7.1.2-26 występuje podatność use-after-free podczas identyfikacji obrazu z spreparowanym profilem 8BIM zawierającym określony format string. Problem został naprawiony w wymienionych wersjach.

CVE-2026-53489
Średnie

Podatność w containerd pozwala na odczyt dowolnego pliku na hoście przez polecenie kubectl logs. Błąd występuje w pluginie CRI, który przywraca plik container.log z obrazu punktu kontrolnego bez walidacji ścieżki dowiązania symbolicznego.

CVE-2026-53467
Średnie

W ImageMagick przed wersjami 6.9.13-51 i 7.1.2-26 dekoder MNG zawiera podatność na ujawnienie informacji z pamięci sterty, ponieważ część pikseli pozostaje niezmieniona.

CVE-2026-53466
Średnie

W ImageMagick przed wersjami 6.9.13-51 i 7.1.2-26 wykryto przepełnienie liczby całkowitej w dekoderze XCF, które może prowadzić do odczytu poza zakresem pamięci podczas przetwarzania spreparowanego obrazu, potencjalnie powodując awarię programu.

CVE-2026-47262
Średnie

Podatność w containerd pozwala na wyczerpanie pamięci poprzez specjalnie spreparowany obraz kontenera, co prowadzi do zabicia procesu containerd (OOM) i uniemożliwia korzystanie z API środowiska uruchomieniowego. Problem dotyczy wersji przed 1.7.33, 2.0.10, 2.1.9, 2.2.5 i 2.3.2.

CVE-2026-38142
Średnie

W urządzeniu Tenda AC18 w wersji oprogramowania 15.03.05.05 wykryto podatność na wstrzykiwanie poleceń w punkcie końcowym /goform/fast_setting_internet_set. Niezautoryzowany atakujący może wysłać spreparowane żądanie z złośliwym ładunkiem w parametrze mac, co pozwala na wykonanie dowolnych poleceń systemowych.

CVE-2026-14358
Średnie

Rozszerzenie Charts dla MediaWiki zawiera podatność na ataki XSS spowodowaną niewłaściwą neutralizacją danych wejściowych podczas generowania stron. Problem dotyczy wersji przed 1.43.9, 1.44.6 i 1.45.4.

CVE-2026-13769
Średnie

W AWS CLI przed wersjami 1.44.78 (v1) i 2.34.29 (v2) na systemach Unix-like, domyślne uprawnienia plików są zbyt liberalne, co pozwala innym lokalnym użytkownikom na tym samym hoście odczytać poświadczenia zapisane przez niektóre podkomendy CLI (aws codeartifact login, aws iam create-virtual-mfa-device, aws deploy register). Problem występuje, gdy umask nie został skonfigurowany do ograniczenia uprawnień plików (co jest domyślne na większości systemów).

PoprzedniaStrona 10 z 485Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS