Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2025-61260
KrytyczneEPSS 93%

W OpenAI Codex CLI w wersji 0.23.0 i wcześniejszych wykryto podatność umożliwiającą wykonanie kodu poprzez złośliwe pliki konfiguracyjne MCP. Atak następuje, gdy użytkownik uruchomi polecenie codex w spreparowanym repozytorium, a Codex automatycznie ładuje lokalne pliki .env i .codex/config.toml bez potwierdzenia użytkownika.

CVE-2026-31049
Krytyczne

W Hostbill w wersjach 2025-11-24 i 2025-12-01 występuje problem, który umożliwia zdalnemu atakującemu wykonanie dowolnego kodu oraz eskalację uprawnień poprzez pole rejestracji CSV.

CVE-2026-31908
Krytyczne

W Apache APISIX występuje podatność na wstrzykiwanie nagłówków, która może być wykorzystana przez atakującego dzięki określonej konfiguracji wtyczki forward-auth. Problem dotyczy wersji od 2.12.0 do 3.15.0.

CVE-2026-40315
Krytyczne

PraisonAI to system zespołów wieloagentowych. W wersjach przed 4.5.133 występuje podatność na wstrzykiwanie identyfikatorów SQL w SQLiteConversationStore, gdzie wartość konfiguracyjna table_prefix jest bezpośrednio łączona z zapytaniami SQL bez walidacji lub sanitizacji.

CVE-2026-40313
Krytyczne

PraisonAI to system zespołów wieloagentowych. W wersjach 4.5.139 i poniżej, przepływy pracy GitHub Actions są podatne na atak ArtiPACKED, który może prowadzić do wycieku poświadczeń z powodu użycia actions/checkout bez ustawienia persist-credentials: false.

CVE-2026-40289
Krytyczne

PraisonAI to system zespołów wieloagentowych. W wersjach poniżej 4.5.139 PraisonAI oraz 1.5.140 praisonaiagents, mostek przeglądarki jest podatny na przejęcie sesji zdalnych bez uwierzytelnienia z powodu braku odpowiedniej autoryzacji oraz możliwości obejścia sprawdzania pochodzenia na końcówce WebSocket /ws.

CVE-2026-40288
Krytyczne

PraisonAI to system wieloagentowy, który w wersjach poniżej 4.5.139 oraz 1.5.140 jest podatny na wykonanie dowolnych poleceń i kodu poprzez nieufne pliki YAML. Silnik workflow nie weryfikuje ani nie izoluje plików YAML, co pozwala na wykonanie poleceń powłoki, skryptów inline w Pythonie oraz dowolnych skryptów Pythona.

CVE-2026-6264
Krytyczne

Krytyczna podatność w Talend JobServer i Talend Runtime umożliwia zdalne wykonanie kodu bez uwierzytelnienia przez port monitorowania JMX. Wektor ataku to port monitorowania JMX Talend JobServer.

CVE-2026-4365
Krytyczne

Wtyczka LearnPress dla WordPressa jest podatna na nieautoryzowane usuwanie danych z powodu braku sprawdzenia uprawnień w funkcji `delete_question_answer()`. Problem dotyczy wszystkich wersji do i włącznie z 4.3.2.8, gdzie wtyczka udostępnia nonce `wp_rest` w publicznym HTML, co umożliwia atakującym usunięcie odpowiedzi na quizy.

CVE-2026-27681
Krytyczne

W wyniku niewystarczających kontroli autoryzacji w SAP Business Planning and Consolidation oraz SAP Business Warehouse, uwierzytelniony użytkownik może wykonać spreparowane zapytania SQL, aby odczytać, zmodyfikować i usunąć dane z bazy danych. To prowadzi do wysokiego wpływu na poufność, integralność i dostępność systemu.

CVE-2026-22564
Krytyczne

Podatność związana z niewłaściwą kontrolą dostępu może umożliwić złośliwemu użytkownikowi z dostępem do sieci UniFi Play włączenie SSH i dokonanie nieautoryzowanych zmian w systemie.

CVE-2026-22563
Krytyczne

Seria podatności związanych z niewłaściwą walidacją danych wejściowych może umożliwić atak typu Command Injection przez złośliwego użytkownika mającego dostęp do sieci UniFi Play.

CVE-2026-22562
Krytyczne

W urządzeniach UniFi Play zidentyfikowano podatność typu Path Traversal, która pozwala złośliwemu użytkownikowi na zapis plików w systemie. Wykorzystanie tej luki może prowadzić do zdalnego wykonania kodu (RCE).

CVE-2026-31048
Krytyczne

Problem w protokole <code>pickle</code> w Pyro v3.x umożliwia atakującym wykonanie dowolnego kodu poprzez dostarczenie spreparowanej wiadomości w postaci zserializowanego ciągu znaków.

CVE-2026-40044
Krytyczne

Pachno 1.0.6 zawiera podatność na deserializację, która pozwala nieautoryzowanym atakującym na wykonanie dowolnego kodu poprzez wstrzykiwanie złośliwych obiektów serializowanych do plików cache. Atakujący mogą zapisywać ładunki obiektów PHP do plików cache o przewidywalnych nazwach, które są deserializowane podczas uruchamiania frameworka przed sprawdzeniem autoryzacji.

CVE-2026-40042
Krytyczne

Pachno w wersji 1.0.6 zawiera podatność na wstrzykiwanie zewnętrznych jednostek XML, która pozwala nieautoryzowanym atakującym na odczyt dowolnych plików poprzez wykorzystanie niebezpiecznego parsowania XML w pomocniku TextParser. Atakujący mogą wstrzykiwać złośliwe jednostki XML za pomocą składni tabel wiki oraz tagów inline w opisach problemów, komentarzach i artykułach wiki.

CVE-2026-6195
Krytyczne

W urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024 wykryto podatność, która dotyczy funkcji setPasswordCfg w pliku /cgi-bin/cstecgi.cgi. Manipulacja argumentem admpass prowadzi do zdalnego wstrzyknięcia poleceń systemowych.

CVE-2026-31283
Krytyczne

W Totara LMS w wersji 19.1.5 i wcześniejszych, API do resetowania hasła nie wprowadza limitu liczby prób dla docelowego adresu e-mail, co może być wykorzystane do ataku typu Email Bombing. Dodatkowo, konfiguracja pwresettime domyślnie wynosi 30 minut, a aktywacja flagi PWRESET_STATUS_ALREADYSENT zapobiega wysyłaniu kolejnych wiadomości o resetowaniu hasła dla danego adresu e-mail.

CVE-2026-31282
Krytyczne

Totara LMS w wersji 19.1.5 i wcześniejszych jest podatny na niewłaściwą kontrolę dostępu. Kod strony logowania może być manipulowany w celu ujawnienia formularza logowania, co umożliwia atakującemu przeprowadzenie ataku brute force z powodu braku limitu liczby prób logowania.

CVE-2026-0234
Krytyczne

Podatność w platformach Cortex XSOAR i Cortex XSIAM podczas integracji z Microsoft Teams wynika z nieprawidłowej weryfikacji podpisu kryptograficznego. Umożliwia ona nieuwierzytelnionemu użytkownikowi dostęp do chronionych zasobów i ich modyfikację.

PoprzedniaStrona 110 z 562Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS