Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-47248
Średnie

Parse Server przed wersjami 8.6.78 i 9.9.1-alpha.2 ujawnia metadane schematu przez komunikaty o błędach walidacji GraphQL, co pozwala nieautoryzowanym użytkownikom na rekonstrukcję nazw klas i pól.

CVE-2026-47236
Średnie

Solidtime to aplikacja do śledzenia czasu, która przed wersją 0.12.2 miała niewłaściwie skonfigurowane uprawnienia do API zaproszeń i członków. Pracownicy organizacji mogli uzyskać dostęp do adresów e-mail zaproszeń i członków, mimo że API zabraniało im tego dostępu.

CVE-2026-42932
Średnie

Identyfikatory urządzeń Naxclow wykorzystują stałe prefiksy produkcyjne połączone z sekwencyjnymi licznikami, co prowadzi do przewidywalnej i enumerowalnej przestrzeni identyfikatorów. Dodatkowo, platforma udostępnia punkt końcowy, który ujawnia aktualny najwyższy identyfikator, co umożliwia enumerację aktywnej floty.

CVE-2026-41568
Średnie

W Moby, w wersjach przed 2.0.0-beta.14 oraz w Docker Engine przed 29.5.1, występuje warunkowe wyścigu podczas konfiguracji montowania docker cp, co pozwala złośliwemu kontenerowi na tworzenie pustych plików lub katalogów w dowolnych absolutnych ścieżkach na systemie plików hosta.

CVE-2026-10715
Średnie

Camaleon CMS w wersji 2.9.2 zawiera lukę w autoryzacji w punkcie końcowym autosave szkiców administratora. Użytkownik z niskimi uprawnieniami może wysłać dowolny post_id do POST /admin/post_type/<POST_TYPE_ID>/drafts i nadpisać szkic związany z postem innego użytkownika.

CVE-2026-47225
Średnie

Typo-tolerancyjny silnik wyszukiwania Typesense ma problem z izolacją pamięci podręcznej, który dotyczy zapytań wyszukiwania korzystających z pamięci podręcznej wyników po stronie serwera oraz kluczy API Scoped Search. W wyniku określonego porządku zapytań, wyniki z pamięci podręcznej mogą być ponownie używane w zapytaniach z różnymi ograniczeniami kluczy API, co prowadzi do niezamierzonego ujawnienia wyników wyszukiwania.

CVE-2026-47223
Średnie

W NanaZip, od wersji 3.0.1000.0 do przed wersją 6.0.1698.0, występuje podatność na odczyt poza granicami sterty w parserze obrazu vbmeta Android Verified Boot (AVB). Przepełnienie 32-bitowej liczby całkowitej bez znaku w sprawdzeniu granic pozwala na ominięcie walidacji przez pole salt_len kontrolowane przez atakującego.

CVE-2026-44173
Średnie

Podatność w MariaDB pozwala na wykonanie zapytań SELECT ... INTO OUTFILE i SELECT ... INTO DUMPFILE bez wymaganego uprawnienia FILE, jeśli klauzula FROM zawiera wyłącznie podzapytania. Problem dotyczy wersji od 10.6.1 do 10.6.26, 10.11.1 do 10.11.17, 11.4.1 do 11.4.11, 11.8.1 do 11.8.7 oraz 12.3.1.

CVE-2026-44171
Średnie

Serwer MariaDB w wersjach od 10.6.1 do przed 10.6.26, 10.11.1 do przed 10.11.17, 11.4.1 do przed 11.4.11, 11.8.1 do przed 11.8.7 oraz 12.3.1 miał problem z brakiem weryfikacji ścieżek zawierających /../ podczas rozpakowywania archiwum. Specjalnie przygotowane archiwum mogło spowodować utworzenie plików poza docelowym katalogiem.

CVE-2026-44169
Średnie

W wersjach MariaDB od 11.4.1 do przed 11.4.11, 11.8.1 do przed 11.8.7 oraz 12.3.1, użytkownik z dostępem EXECUTE do procedury składowanej mógł zobaczyć definicję tej procedury, nawet bez uprawnienia SHOW CREATE ROUTINE. Problem został naprawiony w wersjach 11.4.11, 11.8.7 i 12.3.2.

CVE-2026-7184
Średnie

Wersje Mattermost 11.6.x do 11.6.1, 11.5.x do 11.5.4 oraz 10.11.x do 10.11.15 nie sanitizują odpowiedzi API zdalnego klastra podczas operacji PATCH. Umożliwia to uwierzytelnionym użytkownikom z uprawnieniem {{manage_secure_connections}} uzyskanie tokenów uwierzytelniających zdalnego klastra poprzez żądanie PATCH do punktu końcowego zdalnego klastra.

CVE-2026-6739
Średnie

Wersje Mattermost 11.6.x do 11.6.1, 11.5.x do 11.5.4 oraz 10.11.x do 10.11.16 nie wymagają uprawnień na poziomie systemu przy łatanie chronionych domyślnych ról systemowych. Umożliwia to uwierzytelnionym użytkownikom z delegowanymi uprawnieniami do zarządzania użytkownikami eskalację uprawnień poprzez modyfikację uprawnień wbudowanych ról za pomocą API łatania ról.

CVE-2026-6689
Średnie

Wersje Mattermost 11.6.x do 11.6.1, 11.5.x do 11.5.4 oraz 10.11.x do 10.11.16 nie egzekwują odpowiednich uprawnień przy tworzeniu zespołów, co pozwala uwierzytelnionym użytkownikom z uprawnieniem PermissionCreateTeam, ale bez PermissionInviteUser, na modyfikację ustawień zespołu dotyczących zaproszeń.

CVE-2026-6046
Średnie

Wersje Mattermost 11.6.x do 11.6.1, 11.5.x do 11.5.4 oraz 10.11.x do 10.11.16 nie weryfikują, czy nazwa użytkownika zwrócona podczas rejestracji bota należy do konta bota. To umożliwia nieuprzywilejowanemu atakującemu przechwycenie prywatnych wiadomości wysyłanych przez wtyczki za pomocą kanałów wiadomości bezpośrednich poprzez wcześniejszą rejestrację konta użytkownika z przewidywalną nazwą użytkownika bota wtyczki.

CVE-2026-53982
Średnie

Cap-go Console w wersjach poniżej 12.28.2 zawiera podatność typu denial-of-service w procesie usuwania konta, która pozwala atakującemu zablokować funkcje uwierzytelniania i rejestracji. Problem polega na błędnym powiązaniu stanu usunięcia z identyfikatorem urządzenia, co prowadzi do przekierowania na stronę z informacją o zablokowanym koncie na około 30 dni.

CVE-2026-47224
Średnie

W NanaZip, będącym pochodną 7-Zip, występuje podatność na przepełnienie bufora w pamięci w parserze metadanych fizycznych woluminów LVM2. Problem ten występuje w wersjach od 3.0.1000.0 do przed wersją 6.0.1698.0, gdy otwierany jest spreparowany obraz dysku LVM.

CVE-2026-47222
Średnie

W NanaZip, od wersji 3.0.1000.0 do przed wersją 6.0.1698.0, występuje podatność na odczyt poza granicami stosu w parserze obrazu vbmeta Android Verified Boot (AVB). Atakujący może wykorzystać tę lukę do spowodowania awarii aplikacji przy otwieraniu spreparowanego pliku .avb lub .img.

CVE-2026-3433
Średnie

Wersje Mattermost 11.6.x do 11.6.1, 11.5.x do 11.5.4 oraz 10.11.x do 10.11.15 i 10.11.x do 10.11.16 nie ograniczają transmisji zdarzeń websocket 'role_updated' do członków dotkniętego zespołu lub kanału. To pozwala uwierzytelnionemu atakującemu z dostępem na poziomie gościa obserwować powiadomienia o zmianach w schemacie uprawnień dla prywatnych zespołów, do których nie należy.

CVE-2026-9641
Średnie

Wersje Crypt::PBKDF2 przed 0.261630 dla Perla mają słaby domyślny algorytm oraz liczbę iteracji. Domyślnym algorytmem jest HMAC-SHA1, który powinien być używany tylko w systemach dziedziczonych.

CVE-2026-5792
Średnie

Podatność CVE-2026-5792 dotyczy Hedef Media Promotion Interactive Media Marketing Inc. i pozwala na ominięcie uwierzytelnienia poprzez fałszowanie, co umożliwia ataki typu Brute Force.

PoprzedniaStrona 107 z 510Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS