Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-41274
Krytyczne

Flowise przed wersją 3.1.0 ma podatność w węźle GraphCypherQAChain, który przekazuje dane wejściowe od użytkownika bez odpowiedniej sanitizacji. To pozwala atakującemu na wstrzykiwanie dowolnych poleceń Cypher, które są wykonywane na bazie danych Neo4j.

CVE-2026-35431
Krytyczne

W Microsoft Entra ID Entitlement Management występuje podatność typu server-side request forgery (SSRF), która pozwala nieautoryzowanemu atakującemu na przeprowadzenie spoofingu w sieci.

CVE-2026-33819
Krytyczne

Deserializacja nieufnych danych w Microsoft Bing umożliwia nieautoryzowanemu atakującemu wykonanie kodu przez sieć.

CVE-2026-33102
Krytyczne

W M365 Copilot występuje podatność na przekierowanie URL do nieufnej strony ('open redirect'), co pozwala nieautoryzowanemu atakującemu na podniesienie uprawnień w sieci.

CVE-2026-32210
Krytyczne

Podatność typu server-side request forgery (SSRF) w Microsoft Dynamics 365 (Online) umożliwia nieautoryzowanemu atakującemu przeprowadzanie spoofingu w sieci.

CVE-2026-26210
Krytyczne

KTransformers w wersjach do 0.5.3 zawiera podatność na niebezpieczną deserializację w trybie backendowym balance_serve. Serwer RPC planowania wiąże gniazdo ZMQ ROUTER do wszystkich interfejsów bez uwierzytelnienia i deserializuje przychodzące wiadomości za pomocą pickle.loads() bez walidacji.

CVE-2026-24303
Krytyczne

Nieprawidłowa kontrola dostępu w Microsoft Partner Center umożliwia autoryzowanemu atakującemu podniesienie uprawnień w sieci.

CVE-2026-6942
Krytyczne

Wersja 1.6.0 i wcześniejsze radare2-mcp zawierają podatność na wstrzykiwanie poleceń systemowych, która pozwala zdalnym atakującym na wykonywanie dowolnych poleceń poprzez obejście filtra poleceń za pomocą metaznaków powłoki w danych wejściowych kontrolowanych przez użytkownika przekazywanych do r2_cmd_str().

CVE-2026-41276
Krytyczne

Flowise to interfejs użytkownika typu drag & drop do budowania dostosowanych przepływów dużych modeli językowych. Przed wersją 3.1.0, ta podatność pozwala zdalnym atakującym na ominięcie uwierzytelnienia w dotkniętych instalacjach FlowiseAI Flowise, co umożliwia resetowanie haseł bez wymaganego uwierzytelnienia.

CVE-2026-41268
Krytyczne

Flowise, interfejs użytkownika do budowy dostosowanych modeli językowych, przed wersją 3.1.0 ma krytyczną podatność na zdalne wykonanie poleceń (RCE) bez uwierzytelnienia. Można ją wykorzystać poprzez obejście nadpisania parametrów z użyciem słowa kluczowego FILE-STORAGE:: oraz wstrzyknięcia zmiennej środowiskowej NODE_OPTIONS.

CVE-2026-41265
Krytyczne

Flowise to interfejs typu drag & drop do budowania dostosowanych przepływów modeli językowych. Przed wersją 3.1.0 występował błąd w metodzie run klasy Airtable_Agents, który wynikał z braku odpowiedniego piaskownicy przy ocenie skryptu Pythona generowanego przez LLM.

CVE-2026-41264
Krytyczne

Flowise to interfejs typu drag & drop do budowania dostosowanych przepływów dużych modeli językowych. Przed wersją 3.1.0 występował błąd w metodzie run klasy CSV_Agents, polegający na braku odpowiedniego piaskownicy przy ocenie skryptu Pythona generowanego przez LLM.

CVE-2026-25874
Krytyczne

LeRobot w wersji do 0.5.1 zawiera podatność na niebezpieczną deserializację w asynchronicznym potoku wnioskowania, gdzie używana jest funkcja pickle.loads() do deserializacji danych otrzymywanych przez nieautoryzowane kanały gRPC bez TLS. Atakujący zdalny, nieautoryzowany może uzyskać możliwość wykonania dowolnego kodu na serwerze lub kliencie, wysyłając spreparowany ładunek pickle przez wywołania gRPC.

CVE-2026-6074
Krytyczne

Intrado 911 Emergency Gateway (EGW) w wersjach 5.x, 6.x i 7.x zawiera podatność na traversję ścieżki w punkcie końcowym download_debuglog_file.php, używanym do pobierania logów debugowania. Nieautoryzowany atakujący może manipulować parametrem nazwy, aby odczytać dowolne pliki poza zamierzonym katalogiem.

CVE-2026-41247
Krytyczne

elFinder to otwartoźródłowy menedżer plików dla sieci, napisany w JavaScript z użyciem jQuery UI. W wersjach przed 2.1.67 występuje podatność na wstrzykiwanie poleceń w komendzie resize, gdzie parametr bg (kolor tła) jest akceptowany z wejścia użytkownika i przekazywany do przetwarzania obrazu bez odpowiedniego zabezpieczenia.

CVE-2026-6920
Krytyczne

W Google Chrome na Androidzie przed wersją 147.0.7727.117 wystąpił błąd odczytu poza zakresem w GPU, który mógł zostać wykorzystany przez zdalnego atakującego do przeprowadzenia ucieczki z piaskownicy za pomocą spreparowanej strony HTML.

CVE-2026-6919
Krytyczne

W DevTools w Google Chrome przed wersją 147.0.7727.117 wystąpiła podatność typu use after free, która mogła pozwolić zdalnemu atakującemu, który przejął proces renderera, na potencjalne wykonanie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.

CVE-2026-31181
Krytyczne

W oprogramowaniu układowym ToToLink A3300R w wersji v17.0.0cu.557_B20221024 odkryto problem, który pozwala atakującym na wykonywanie dowolnych poleceń za pomocą parametru stunServerAddr w /cgi-bin/cstecgi.cgi.

CVE-2026-31178
Krytyczne

W oprogramowaniu układowym ToToLink A3300R w wersji v17.0.0cu.557_B20221024 odkryto problem, który pozwala atakującym na wykonywanie dowolnych poleceń za pomocą parametru stunMaxAlive w pliku /cgi-bin/cstecgi.cgi.

CVE-2026-31177
Krytyczne

W oprogramowaniu układowym ToToLink A3300R w wersji v17.0.0cu.557_B20221024 odkryto problem, który pozwala atakującym na wykonywanie dowolnych poleceń za pomocą parametru stunMinAlive w pliku /cgi-bin/cstecgi.cgi.

PoprzedniaStrona 100 z 561Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS