Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-53520
Średnie

Nezha Monitoring to narzędzie do monitorowania serwerów i stron internetowych. W wersjach od 2.0.14 do przed 2.1.0, uwierzytelnieni użytkownicy mogą przejąć kontrolę nad panelem Host poprzez NAT, co pozwala na przejęcie całej routingu panelu.

CVE-2026-49397
Średnie

Nezha Monitoring to narzędzie do monitorowania serwerów i stron internetowych. W wersjach od 2.0.0 do przed 2.0.14, prywatne usługi były widoczne poprzez punkty końcowe dla poszczególnych serwerów, co prowadziło do wycieku danych o nazwach i czasach.

CVE-2026-47268
Średnie

Nezha Monitoring przed wersją 2.0.10 pozwala uwierzytelnionym użytkownikom na tworzenie lub aktualizację profilu DDNS z dowolnym webhook_url, co prowadzi do podatności typu SSRF. Użytkownicy z niskimi uprawnieniami mogą wysyłać żądania HTTP do wewnętrznych usług sieciowych.

CVE-2026-47124
Średnie

Nezha Monitoring w wersjach od 1.4.0 do przed 2.0.9 pozwala na dostęp do WebSocket z informacjami o statusie serwera przez uwierzytelnionych użytkowników niebędących administratorami. Użytkownicy ci mogą otrzymywać dane telemetryczne dotyczące wszystkich serwerów, w tym tych należących do innych użytkowników.

CVE-2026-41155
Średnie

Atakujący może współdzielić dane między procesami GPU w trybie zabezpieczonym poprzez wspólne alokacje pamięci w module jądra. Może to prowadzić do uszkodzenia obrazu lub konieczności odzyskiwania sprzętu GPU.

CVE-2026-12131
Średnie

W systemie CodeAstro Human Resource Management System 1.0 wykryto podatność na iniekcję SQL w module faktur płacowych. Luka występuje w funkcji Invoice pliku Payroll.php, gdzie argument ID jest podatny na manipulację. Atak może być przeprowadzony zdalnie, a publicznie dostępny exploit umożliwia jego wykorzystanie.

CVE-2025-7019
Średnie

Podatność typu przepełnienie stosu w programie Avast Antivirus podczas skanowania źle sformatowanego pliku Office Open XML może prowadzić do awarii procesu antywirusowego.

CVE-2025-7018
Średnie

W podatności CVE-2025-7018 występuje dereferencja wskaźnika null w silniku Avira Antivirus podczas skanowania źle sformatowanego pliku PE systemu Windows, co może prowadzić do awarii procesu silnika antywirusowego.

CVE-2025-7010
Średnie

Podatność na przepełnienie stosu spowodowana niekontrolowaną rekurencją w programie Avast Antivirus podczas skanowania źle sformatowanego pliku PDF może prowadzić do awarii procesu antywirusowego.

CVE-2025-7006
Średnie

Podatność w Avast Antivirus polega na użyciu pamięci stosu po jej zwolnieniu podczas skanowania źle sformatowanego pliku PE Windows, co może prowadzić do awarii procesu antywirusowego.

CVE-2025-7005
Średnie

W Avast Antivirus występuje podatność na niekontrolowaną rekurencję podczas skanowania źle sformatowanego pliku PE systemu Windows, co może prowadzić do awarii procesu antywirusowego.

CVE-2026-54397
Średnie

Podatność w MISP umożliwia uwierzytelnionemu użytkownikowi z uprawnieniami edycji zdarzeń manipulowanie danymi formularza i przypisanie zdarzenia do grupy udostępniania, do której nie ma uprawnień. Problem występuje w ścieżce edycji zdarzeń, która nie stosuje odpowiednich kontroli autoryzacji.

CVE-2026-54396
Średnie

Występuje podatność na ujawnienie informacji w funkcjonalności edycji AuthKey w MISP. Podczas wystąpienia błędu walidacji w żądaniu edycji AuthKey, lista użytkowników była wypełniana wartością AuthKey.user_id kontrolowaną przez atakującego, co umożliwiało enumerację adresów e-mail użytkowników.

CVE-2026-54395
Średnie

MISP zawiera podatność na refleksyjny atak typu cross-site scripting w widoku indeksu zdarzeń UiBeta. Wartość urlparams jest wstawiana do wewnętrznego handlera JavaScript, co pozwala atakującemu na wykonanie dowolnego kodu JavaScript w przeglądarce ofiary.

CVE-2026-54394
Średnie

MISP zawiera podatność na przejście ścieżki w metodzie OrganisationsController::getOrgLogo. Kod podatny buduje ścieżki do plików logo organizacji, wykorzystując pola kontrolowane przez organizację, co pozwala atakującemu na dostęp do plików spoza zamierzonego katalogu.

CVE-2026-54393
Średnie

W MISP występuje podatność na przechowywane ataki XSS, gdy używany jest motyw Overmind. Użytkownik uwierzytelniony może zapisać dowolną wartość strony głównej, w tym ładunek XSS, co prowadzi do wykonania złośliwego JavaScript w kontekście przeglądarki.

CVE-2026-54362
Średnie

Błąd w warunkach widoczności w narzędziu do tworzenia szablonów zdarzeń MISP pozwolił uwierzytelnionym użytkownikom, którzy nie są administratorami, na przeglądanie galaktyk, które nie powinny być widoczne dla ich organizacji. Użycie wyrażenia porównania PHP zamiast warunku zapytania spowodowało, że galaktyki, w tym te przeznaczone tylko dla organizacji, mogły być ujawnione.

CVE-2026-53606
Średnie

ApostropheCMS, system zarządzania treścią oparty na Node.js, zawiera podatność w sanitize-html, która pozwala na wykorzystanie niebezpiecznych schematów URI, takich jak 'javascript:', w atrybutach HTML. Wersje przed 2.17.5 nie blokują tych schematów, co prowadzi do możliwości ataków XSS.

CVE-2026-47264
Średnie

Discourse to otwartoźródłowa platforma dyskusyjna, w której występuje podatność w wersjach od 2026.1.0 do przed 2026.1.4, od 2026.3.0 do przed 2026.3.1 oraz od 2026.4.0 do przed 2026.4.1. Funkcja DetailedTagSerializer#tag_group_names zwracała wszystkie grupy tagów, do których należał tag, bez uwzględnienia widoczności użytkownika, co pozwalało anonimowym i nieuprzywilejowanym użytkownikom na dostęp do nazw grup tagów ograniczonych do określonych grup użytkowników.

CVE-2026-47263
Średnie

Discourse to otwartoźródłowa platforma dyskusyjna, w której wystąpiła podatność w wersjach od 2026.1.0 do przed 2026.1.4, od 2026.3.0 do przed 2026.3.1 oraz od 2026.4.0 do przed 2026.4.1. Wywołanie MessageBus.publish dla /web_hook_events/<id> w Jobs::RedeliverWebHookEvents nie przekazywało group_ids, co umożliwiało dostęp do kanału każdemu uwierzytelnionemu użytkownikowi (lub anonimowemu, gdy logowanie było wyłączone).

PoprzedniaStrona 106 z 514Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS