Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2025-41029
Krytyczne

W podatności CVE-2025-41029 w Zeon Academy Pro występuje luka typu SQL injection, która umożliwia atakującemu manipulację bazą danych poprzez wysłanie żądania POST z parametrem 'phonenumber' w pliku '/private/continue-upload.php'.

CVE-2025-15638
Krytyczne

Wersje Net::Dropbear przed 0.14 dla Perla zawierają podatną wersję libtomcrypt. Wersje te obejmują Dropbear 2019.78 lub wcześniejsze, które są dotknięte podatnościami CVE-2016-6129 i CVE-2018-12437.

CVE-2017-20230
Krytyczne

Wersje Storable przed 3.05 dla Perla mają podatność na przepełnienie stosu. Funkcja retrieve_hook przechowuje długość nazwy klasy w liczbie całkowitej ze znakiem, ale w operacjach odczytu traktuje tę długość jako liczbę bez znaku, co umożliwia atakującemu skonstruowanie danych wywołujących przepełnienie.

CVE-2026-6771
Krytyczne

Podatność polega na obejściu zabezpieczeń w komponencie bezpieczeństwa DOM. Została naprawiona w wersjach Firefox 150, Firefox ESR 140.10, Thunderbird 150 oraz Thunderbird 140.10.

CVE-2026-6768
Krytyczne

Podatność CVE-2026-6768 dotyczy obejścia środków zaradczych w komponencie Networking: Cookies. Została naprawiona w wersjach Firefox 150 i Thunderbird 150.

CVE-2026-6760
Krytyczne

Podatność CVE-2026-6760 dotyczy obejścia zabezpieczeń w komponencie Networking: Cookies. Została naprawiona w wersjach Firefox 150 i Thunderbird 150.

CVE-2026-6748
Krytyczne

Podatność w komponencie Audio/Video: Web Codecs przeglądarki Firefox i klienta poczty Thunderbird powoduje użycie niezainicjalizowanej pamięci. Luka została naprawiona w wersjach Firefox 150, Firefox ESR 140.10, Thunderbird 150 oraz Thunderbird 140.10.

CVE-2026-5965
Krytyczne

Nowa podatność w NewSoftOA pozwala na wstrzykiwanie dowolnych poleceń systemowych przez nieautoryzowanych lokalnych atakujących, co umożliwia ich wykonanie na serwerze.

CVE-2026-40496
Krytyczne

FreeScout to darmowy, samodzielnie hostowany system pomocy technicznej i wspólnej skrzynki pocztowej. W wersjach przed 1.8.213, tokeny do pobierania załączników były generowane przy użyciu słabej i przewidywalnej formuły, co umożliwiało nieautoryzowanym atakującym fałszowanie ważnych tokenów i pobieranie prywatnych załączników bez uwierzytelnienia.

CVE-2026-39861
Krytyczne

Claude Code to narzędzie do kodowania, które przed wersją 2.1.64 nie zapobiegało tworzeniu symlinków przez procesy w piaskownicy, wskazujących na lokalizacje poza obszarem roboczym. To umożliwiało ucieczkę z piaskownicy, pozwalając na zapis do dowolnych lokalizacji, co mogło prowadzić do wykonania kodu poza piaskownicą.

CVE-2026-41329
Krytyczne

OpenClaw przed wersją 2026.3.31 zawiera podatność na obejście piaskownicy, która pozwala atakującym na eskalację uprawnień poprzez dziedziczenie kontekstu heartbeat oraz manipulację parametrem senderIsOwner. Atakujący mogą wykorzystać niewłaściwą walidację kontekstu, aby obejść ograniczenia piaskownicy i uzyskać nieautoryzowaną eskalację uprawnień.

CVE-2026-33432
Krytyczne

Roxy-WI to interfejs webowy do zarządzania serwerami Haproxy, Nginx, Apache i Keepalived. W wersjach do 8.2.8.2, gdy uwierzytelnianie LDAP jest włączone, Roxy-WI tworzy filtr wyszukiwania LDAP, bez odpowiedniego zabezpieczenia wprowadzonej przez użytkownika nazwy użytkownika, co pozwala na wstrzyknięcie metaznaków LDAP.

CVE-2026-32613
Krytyczne

Spinnaker to otwartoźródłowa platforma do ciągłego dostarczania w chmurze. W wersjach przed 2026.1.0, 2026.0.1, 2025.4.2 i 2025.3.2, usługa Echo nie ograniczała kontekstu do zaufanych klas, co umożliwiało pełny dostęp do JVM i pozwalało na użycie dowolnych klas Java, co zagrażało bezpieczeństwu systemu.

CVE-2026-32604
Krytyczne

Spinnaker to otwartoźródłowa platforma do ciągłego dostarczania w chmurze. W wersjach przed 2026.1.0, 2026.0.1, 2025.4.2 i 2025.3.2, złośliwy użytkownik może łatwo wykonywać dowolne polecenia na podach clouddriver, co może prowadzić do ujawnienia poświadczeń, usunięcia plików lub łatwego wstrzykiwania zasobów.

CVE-2026-29646
Krytyczne

W OpenXiangShan NEMU przed wersją 55295c4, w przypadku włączonego rozszerzenia RVH (Hypervisor), zapis gościa w trybie VS do rejestru CSR włączania przerwań nadzorcy (sie) może być obsługiwany nieprawidłowo, co wpływa na stan włączania przerwań na poziomie maszyny (mie). To narusza izolację uprawnień/wirtualizacji.

CVE-2026-6257
Krytyczne

Vvveb CMS w wersji 1.0.8.2 zawiera podatność na zdalne wykonanie kodu w funkcjonalności zarządzania mediami. Brakująca instrukcja zwrotu w obsłudze zmiany nazwy pliku pozwala uwierzytelnionym atakującym na zmianę nazw plików na zablokowane rozszerzenia .php lub .htaccess.

CVE-2026-32311
Krytyczne

Flowsint to narzędzie do eksploracji grafów OSINT, które umożliwia użytkownikom tworzenie dochodzeń. W wyniku podatności, zdalny atakujący może wywołać transformację 'org_to_asn' na węźle organizacji, co pozwala na wykonanie dowolnych poleceń systemowych jako root na maszynie gospodarza.

CVE-2026-29649
Krytyczne

NEMU zawiera błąd implementacji w obsłudze CSR hypervisora RISC-V, gdzie pola henvcfg[7:4] są nieprawidłowo maskowane/aktualizowane na podstawie menvcfg[7:4]. To może prowadzić do nieprawidłowego egzekwowania konfiguracji wirtualizacji oraz powodować nieoczekiwane pułapki lub odmowę usługi podczas wykonywania instrukcji zarządzania blokami pamięci podręcznej w kontekstach wirtualizowanych.

CVE-2026-39109
Krytyczne

Podatność SQL Injection w systemie zarządzania odwiedzinami mieszkańców w wersji 1.1 występuje w parametrze nazwy użytkownika na stronie logowania (index.php). Umożliwia to nieautoryzowanemu atakującemu manipulację zapytaniami SQL w backendzie podczas procesu uwierzytelniania oraz uzyskanie dostępu do wrażliwych danych z bazy.

CVE-2026-30269
Krytyczne

W Doorman w wersjach v0.1.0 i v1.0.2 występuje niewłaściwa kontrola dostępu, która pozwala każdemu uwierzytelnionemu użytkownikowi na aktualizację swojej roli konta do roli z uprawnieniami nieadmina poprzez /platform/user/{username}. Pole `role` jest akceptowane przez model aktualizacji bez sprawdzenia uprawnień manage_users dla aktualizacji własnych, co umożliwia eskalację uprawnień do ról o wysokich uprawnieniach.

PoprzedniaStrona 104 z 561Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS