Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-11847
Średnie

Komputer wirtualizacyjny iVEC-IEI opracowany przez IEI Integration Corp posiada podatność na atak typu Path Traversal, która umożliwia uwierzytelnionym zdalnym atakującym wykorzystanie tej podatności do tworzenia katalogów w niezamierzonych ścieżkach systemowych.

CVE-2026-11844
Średnie

Komputer wirtualizacyjny iVEC-IEI opracowany przez IEI Integration Corp ma podatność na odczyt dowolnych plików, co pozwala zdalnym atakującym z uprawnieniami na dostęp do plików poza zamierzonym zakresem katalogów.

CVE-2026-12058
Średnie

W oknie potwierdzenia połączenia w określonej funkcji PcSuite można obejść zabezpieczenia.

CVE-2026-9271
Średnie

Podatność CVE-2026-9271 dotyczy określonego komponentu, który może być narażony na ataki. W szczególności, może prowadzić do nieautoryzowanego dostępu lub ujawnienia danych.

CVE-2026-12060
Średnie

Heptabase, opracowany przez Hepta Platforms, ma podatność na ujawnioną niebezpieczną metodę lub funkcję, która pozwala nieautoryzowanym zdalnym atakującym wykorzystać techniki inżynierii społecznej do oszukania ofiary w celu otwarcia lub załadowania złośliwej strony internetowej w aplikacji Heptabase. To umożliwia uzyskanie nieautoryzowanego dostępu do uprawnień kamery i mikrofonu.

CVE-2026-48613
Średnie

W podatności CVE-2026-48613 występuje luka typu SQL injection w migracji pól profilu phpBB, spowodowana niewłaściwym przetwarzaniem danych dostarczonych przez użytkowników. Umożliwia to wykonanie dowolnych zapytań SQL na forach phpBB, które zostały zaktualizowane z wersji wcześniejszych niż phpBB 3.3.8 i nie zostały jeszcze zaktualizowane do wersji 3.3.11 lub nowszej.

CVE-2026-20746
Średnie

Obsługa atrybutów wirtualnych w Ping Identity PingDirectory w dotkniętych wersjach pozwala tylko autoryzowanym użytkownikom na wyczerpanie pamięci heap Java, gdy włączona jest historia ostatnich logowań i kopiowane są atrybuty wirtualne, które odnoszą się do wartości ds-privilege-name.

CVE-2026-9125
Średnie

Wtyczka Presto Player dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez parametr 'link_url' shortcode'a [presto_player_overlay] w wersjach do 4.2.0 włącznie. Problem wynika z niewystarczającej sanitizacji danych wejściowych i ucieczki danych wyjściowych w funkcji getOverlays().

CVE-2026-49482
Średnie

ClipBucket v5 to otwartoźródłowa platforma do udostępniania wideo, która przed wersją 5.5.3 - #141 zawierała niewłaściwe neutralizowanie znaków wieloznacznych SQL w punkcie edycji napisów. Użytkownik z autoryzacją mógł wysłać znak % jako parametr liczbowy, co pozwalało na nadpisanie wszystkich tytułów napisów dowolnego wideo, które posiadał, w jednym żądaniu HTTP.

CVE-2026-47238
Średnie

ClipBucket v5 to otwarta platforma do udostępniania wideo. W wersjach przed 5.5.3 - #133, normalny uwierzytelniony użytkownik mógł edytować napisy wideo innego użytkownika z powodu braku autoryzacji.

CVE-2026-45173
Średnie

Rozszerzenie Idira Identity Browser dla przeglądarek Chrome, Firefox i Edge w wersjach przed 26.8.1 zawiera błąd walidacji pochodzenia w swoich wewnętrznych procedurach weryfikacji stron internetowych. Użytkownik uwierzytelniony, który odwiedzi specjalnie przygotowaną stronę, może umożliwić zdalnemu atakującemu wywołanie nieautoryzowanej interakcji z aplikacją lub wykonanie parametrów w kontekście tej uwierzytelnionej sesji przeglądarki.

CVE-2026-12033
Średnie

W Google Chrome przed wersją 149.0.7827.115 wystąpił błąd odczytu poza zakresem w VideoCapture, który umożliwiał zdalnemu atakującemu, który przejął proces GPU, uzyskanie potencjalnie wrażliwych informacji z pamięci procesu za pomocą spreparowanej strony HTML.

CVE-2026-12026
Średnie

Podatność w Google Chrome na ChromeOS przed wersją 149.0.7827.115 umożliwia zdalnemu atakującemu, który skompromitował proces renderowania, odczyt poza zakresem w module Video, co może prowadzić do ujawnienia potencjalnie wrażliwych informacji z pamięci procesu za pomocą spreparowanej strony HTML.

CVE-2026-12025
Średnie

Niewystarczająca walidacja niezaufanego wejścia w sieci w Google Chrome przed wersją 149.0.7827.115 umożliwiła zdalnemu atakującemu, który przejął proces renderowania, wyciek danych między źródłami za pomocą spreparowanej strony HTML.

CVE-2026-12024
Średnie

Niewystarczające egzekwowanie polityki w DevTools w Google Chrome przed wersją 149.0.7827.115 umożliwia zdalnemu atakującemu obejście polityki same origin za pomocą spreparowanej strony HTML.

CVE-2026-12015
Średnie

Wykorzystanie po zwolnieniu pamięci w funkcji Autofill w Google Chrome przed wersją 149.0.7827.115 umożliwia zdalnemu atakującemu, który przejął proces renderera, uzyskanie potencjalnie wrażliwych informacji z pamięci procesu za pomocą spreparowanej strony HTML.

CVE-2026-53818
Średnie

OpenClaw przed wersją 2026.4.24 zawiera lukę w autoryzacji w funkcji pętli zwrotnej MCP, która pozwala na ominięcie polityk narzędzi przeznaczonych tylko dla właścicieli. Atakujący mogą wywołać zachowanie zarezerwowane dla właścicieli za pomocą tej podatnej ścieżki pętli zwrotnej.

CVE-2026-53815
Średnie

OpenClaw przed wersją 2026.5.19 zawiera lukę w autoryzacji, która pozwala na ominięcie kontroli listy dozwolonych kanałów podczas odczytu wiadomości. Użytkownicy o niższym poziomie zaufania mogą żądać wiadomości z kanałów, do których nie mają dostępu, co może prowadzić do ujawnienia wrażliwych informacji.

CVE-2026-53808
Średnie

OpenClaw w wersjach przed 2026.5.6 zawiera lukę umożliwiającą obejście polityki zatwierdzania w procesie aplikacji w Skill Workshop. Umożliwia to atakującym wywołanie narzędzi agenta, które mogą ustawić apply: true mimo konfiguracji approvalPolicy: pending.

CVE-2026-53781
Średnie

Podatność w Summarize przed wersją 0.17.0 pozwala zdalnym atakującym na wyczerpanie zasobów dyskowych poprzez serwowanie odpowiedzi medialnych, które omijają narzucone limity rozmiaru. Może to nastąpić przez brak lub błędnie zgłoszone nagłówki Content-Length, kodowanie transferu chunked lub nieudane żądania HEAD.

PoprzedniaStrona 110 z 511Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS