Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-45642
Niskie

Nieprawidłowa walidacja danych wejściowych w usłudze Microsoft Azure Attestation oraz w usłudze Device Health Attestation umożliwia autoryzowanemu atakującemu przeprowadzenie ataku spoofingowego przy użyciu ataku fizycznego.

CVE-2026-45485
Niskie

W Microsoft Office występuje podatność na odczyt poza granicami, która pozwala nieautoryzowanemu atakującemu na ujawnienie informacji lokalnie.

CVE-2026-45466
Niskie

W Microsoft Office Word występuje przepełnienie bufora oparte na stercie, które może pozwolić nieautoryzowanemu atakującemu na ujawnienie informacji lokalnie.

CVE-2026-45459
Niskie

W Microsoft Office Excel występuje awaria mechanizmu ochrony, która pozwala nieautoryzowanemu atakującemu na lokalne obejście funkcji zabezpieczeń.

CVE-2026-45455
Niskie

W Microsoft Office Excel występuje podatność na odczyt poza zakresem, która pozwala nieautoryzowanemu atakującemu na ujawnienie informacji przez sieć.

CVE-2026-42770
Niskie

Podatność występuje w funkcji EVP_PKEY_derive_set_peer(), która nieprawidłowo sprawdza przynależność klucza peer do podgrupy, gdy używany jest klucz DHX (X9.42). Złośliwy peer może wykorzystać tę lukę do odzyskania prywatnego klucza ofiary po niewielkiej liczbie prób wymiany kluczy.

CVE-2026-42768
Niskie

Funkcje CMS_decrypt i PKCS7_decrypt są podatne na atak typu Bleichenbacher, gdy atakujący może dostarczyć wiadomości CMS lub S/MIME oraz obserwować kod błędu i/lub wynik deszyfrowania. Atak ten umożliwia wykorzystanie podatnej aplikacji ofiary do deszyfrowania lub podpisywania wiadomości przy użyciu prywatnego klucza RSA ofiary.

CVE-2026-11792
Niskie

W 389 Directory Server odkryto podatność przepełnienia bufora sterty. Funkcja create_masked_entry_string() w auditlog.c kopiuje maskę hasła o stałej długości do precyzyjnie dopasowanego bufora bez sprawdzania dostępnego miejsca, co przy krótkim haśle w postaci jawnego tekstu prowadzi do przepełnienia.

CVE-2026-11786
Niskie

W 389 Directory Server wykryto błąd w parserze LDIF, który podczas importu bazy danych odczytuje dane poza przydzielonym buforem sterty przy przetwarzaniu typów atrybutów z końcowymi średnikami. Powoduje to odczyt poza zakresem, wykrywalny przy użyciu instrumentacji pamięci.

CVE-2026-11764
Niskie

Podatność CVE-2026-11764 pozwala na wyeksportowanie tajemnic powiązanych z kartami podarunkowymi, nawet jeśli użytkownik nie ma uprawnień do ich przeglądania. To narusza zasady bezpieczeństwa, ponieważ w interfejsie użytkownika i API wyświetlane są tylko pierwsze litery tajemnicy karty podarunkowej.

CVE-2026-49738
Niskie

Weryfikacja dozwolonych ścieżek w funkcji GeneralUtility::isAllowedAbsPath() nie uwzględniała granicy separatora katalogu, co pozwalało na akceptację nieprawidłowych ścieżek. Administratorzy mogli tworzyć nowe definicje przechowywania plików wskazujące na katalogi poza głównym katalogiem projektu.

CVE-2026-41986
Niskie

Podatność na obejście logiki w systemie plików. Jej wykorzystanie może wpłynąć na dostępność systemu.

CVE-2026-41974
Niskie

W podatności CVE-2026-41974 występuje luka w kontroli uprawnień w powiadomieniach serwisowych. Skuteczne wykorzystanie tej podatności może wpłynąć na dostępność systemu.

CVE-2026-8981
Niskie

Wtyczka Custom Block Builder dla WordPressa przed wersją 4.3.0 nie sprawdza konsekwentnie uprawnienia unfiltered_html w ścieżkach zapisujących do pól kodu szablonu bloku. To pozwala administratorom na instalacjach multisite (lub pojedynczych z zdefiniowanym DISALLOW_UNFILTERED_HTML) na wstrzykiwanie dowolnego JavaScriptu, który będzie wykonywany dla każdego odwiedzającego strony z osadzonym blokiem.

CVE-2026-41852
Niskie

Podatność w logice ewaluacji wyrażeń Spring Expression Language (SpEL) umożliwia wywoływanie dowolnych metod bezargumentowych, nawet w kontekstach z ograniczonymi uprawnieniami lub tylko do odczytu. Może to pozwolić atakującemu na wykonanie niezamierzonej logiki aplikacji.

CVE-2026-41848
Niskie

Podatność ReDoS w Spring Framework umożliwia atakującemu przeprowadzenie ataku typu odmowa usługi poprzez dostarczenie specjalnie spreparowanego wzorca do metod AntPathMatcher: match, matchStart oraz extractUriTemplateVariables.

CVE-2026-44743
Niskie

W określonych warunkach, gdy nieautoryzowany atakujący uzyskuje dostęp do konkretnego punktu końcowego, aplikacja SAP Business Objects ujawnia wrażliwe informacje. Ma to niski wpływ na poufność danych.

CVE-2026-11691
Niskie

Niewystarczająca walidacja nieufnych danych wejściowych na stronie nowej karty w Google Chrome przed wersją 149.0.7827.103 umożliwiła zdalnemu atakującemu, który przejął proces renderowania, wyciek danych między źródłami za pomocą spreparowanej strony HTML.

CVE-2026-11686
Niskie

Niewystarczająca walidacja nieufnych danych wejściowych w Dawn w Google Chrome na macOS przed wersją 149.0.7827.103 umożliwiła zdalnemu atakującemu, który przejął proces renderowania, wyciek danych między źródłami za pomocą spreparowanej strony HTML.

CVE-2026-11684
Niskie

Niewystarczające egzekwowanie polityki w sieci w Google Chrome przed wersją 149.0.7827.103 umożliwia zdalnemu atakującemu, który przejął proces pomocniczy, wyciek danych między źródłami za pomocą spreparowanej strony HTML.

PoprzedniaStrona 11 z 60Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS