Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-9641
Średnie

Wersje Crypt::PBKDF2 przed 0.261630 dla Perla mają słaby domyślny algorytm oraz liczbę iteracji. Domyślnym algorytmem jest HMAC-SHA1, który powinien być używany tylko w systemach dziedziczonych.

CVE-2026-5792
Średnie

Podatność CVE-2026-5792 dotyczy Hedef Media Promotion Interactive Media Marketing Inc. i pozwala na ominięcie uwierzytelnienia poprzez fałszowanie, co umożliwia ataki typu Brute Force.

CVE-2026-53568
Średnie

Frappe to framework aplikacji webowych. Przed wersjami 15.107.2 i 16.17.4 występowała podatność typu XSS, która była przechowywana w widoku raportów/list. Problem został naprawiony w wersjach 15.107.2 i 16.17.4.

CVE-2026-50560
Średnie

Netty, framework do aplikacji sieciowych, przed wersjami 4.1.135.Final i 4.2.15.Final miał problem z obsługą maksymalnego rozmiaru nagłówków HTTP/2, co umożliwiało atak podobny do ataku HTTP/2 Rapid Reset. W wyniku tego, podczas przetwarzania żądania mogło dojść do wyjątków przy zapisie nagłówków odpowiedzi.

CVE-2026-50082
Średnie

Portal dewelopera Aqara (developer.aqara.com) wydaje token dewelopera dla dowolnego adresu e-mail podanego przez atakującego. Jest to przykład 'CWE-306: Brak uwierzytelnienia dla krytycznej funkcji', co stwarza ryzyko przejęcia urządzeń przez nieautoryzowanych użytkowników.

CVE-2026-50026
Średnie

Frappe to framework aplikacji webowych, który przed wersjami 15.107.0 i 16.17.0 miał lukę w zabezpieczeniach związaną z brakiem sprawdzania uprawnień w niektórych punktach końcowych, co umożliwiało nieautoryzowany dostęp do zasobów.

CVE-2026-50020
Średnie

W wersjach przed 4.1.135.Final i 4.2.15.Final, `HttpObjectDecoder` w frameworku Netty pomijał bajty kontrolne oraz białe znaki przed odczytem pierwszej linii żądania. To może prowadzić do nieprawidłowego rozpoznawania granic żądania w złożonych transportach, co stwarza ryzyko ataków.

CVE-2026-50009
Średnie

Netty przed wersją 4.2.15.Final ujawnia token resetu stateless w ścieżce sieciowej, co może być wykorzystane przez atakującego do przeprowadzenia ataku typu Denial of Service.

CVE-2026-47190
Średnie

IPAM, menedżer adresów IP dla Cluster API Provider Metal3, przed wersjami 1.11.7, 1.12.4 i 1.13.0, przyznawał pełne uprawnienia CRUD dla core/v1 Secrets. W normalnych warunkach controller nie uzyskuje dostępu do Secrets, jednak w przypadku kompromitacji podu kontrolera, atakujący mógłby wykorzystać te nadmierne uprawnienia do odczytu, modyfikacji lub usunięcia Secrets.

CVE-2026-47182
Średnie

Frappe to framework aplikacji webowych. Przed wersją 16.17.4, każdy uwierzytelniony użytkownik mógł uzyskać dostęp do prywatnych plików, zgadując ścieżkę do pliku. Problem został naprawiony w wersji 16.17.4.

CVE-2026-46690
Średnie

Rozszerzenie unbounded_spsc w wersjach 0.2.0 i wcześniejszych zawiera błąd, który prowadzi do odczytu poza granicami pamięci oraz fałszywego zwolnienia zasobów w wyniku wyścigu między nadawcą a odbiorcą.

CVE-2026-44976
Średnie

Frappe to pełnostackowy framework aplikacji webowych. Przed wersją 16.17.4 każdy użytkownik mógł modyfikować dowolne pole w każdym rekordzie kroku onboardingu. Problem ten został naprawiony w wersji 16.17.4.

CVE-2026-44975
Średnie

Frappe to framework aplikacji webowych. Przed wersjami 15.107.2 i 16.17.4, każdy uwierzytelniony użytkownik mógł zresetować proces wprowadzania dla wszystkich użytkowników w systemie.

CVE-2026-44967
Średnie

OpenTelemetry-cpp przed wersją 1.27.0 ma podatność, w której eksportery OTLP HTTP (śladów/metryk/logów) odczytują pełną odpowiedź HTTP do wektora bajtów w pamięci bez ograniczenia rozmiaru. Może to prowadzić do wyczerpania pamięci, gdy skonfigurowany punkt końcowy kolektora jest kontrolowany przez atakującego.

CVE-2026-44208
Średnie

Frappe to framework aplikacji webowych, który przed wersjami 15.107.0 i 16.17.0 miał brak walidacji w punkcie końcowym 'submit_discussion()', co umożliwiało nieautoryzowany dostęp do zasobów.

CVE-2026-44207
Średnie

Frappe to framework aplikacji webowych. Przed wersjami 15.107.0 i 16.17.0 występowała podatność IDOR, która pozwalała uwierzytelnionym użytkownikom na dostęp do szczegółów konfiguracji e-mail innych użytkowników.

CVE-2026-44206
Średnie

Frappe to framework aplikacji webowych. Przed wersjami 15.107.2 i 16.17.4 istniała możliwość enumeracji schematu bazy danych poprzez wykorzystanie jednego z punktów końcowych. Problem ten został naprawiony w wersjach 15.107.2 i 16.17.4.

CVE-2026-8694
Średnie

W Devolutions PowerShell Universal w wersji 2026.1.7 i wcześniejszych występuje niewłaściwa kontrola dostępu, która pozwala nieautoryzowanemu zdalnemu atakującemu na uzyskanie specyfikacji OpenAPI zdefiniowanych przez użytkownika punktów końcowych REST.

CVE-2026-53722
Średnie

Framework Nuxt przed wersjami 3.21.7 i 4.4.7 nie weryfikował schematu URL dla wartości przypisanych do atrybutów to lub href komponentu <NuxtLink>. Umożliwia to atakującym wstrzykiwanie złośliwych skryptów, co prowadzi do refleksyjnego ataku XSS.

CVE-2026-47739
Średnie

Frappe to framework aplikacji webowych, w wersjach przed 15.106.0 i 16.16.0 występowała podatność na przechowywane XSS w module Note z powodu braku sanitizacji. Problem został naprawiony w wersjach 15.106.0 i 16.16.0.

PoprzedniaStrona 108 z 511Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS