Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-49949
Średnie

CodexBar w wersjach przed 0.33.0 zawiera podatność na przekazywanie poświadczeń, która umożliwia atakującym z sieci lokalnej przechwytywanie wrażliwych poświadczeń. Atakujący mogą przekierowywać żądania z poświadczeniami do niezamierzonych hostów lub portów, co pozwala na przechwycenie danych takich jak ciasteczka przeglądarki, tokeny dostępu czy klucze API.

CVE-2026-45802
Średnie

FPDI to zbiór klas PHP, które umożliwiają odczytywanie stron z istniejących dokumentów PDF i używanie ich jako szablonów w FPDF. Przed wersją 2.6.7, atakujący mógł przesłać mały, złośliwy plik PDF, co prowadziło do awarii skryptu po stronie serwera z powodu wyczerpania pamięci lub przekroczenia czasu wykonywania skryptu.

CVE-2026-53702
Średnie

W bibliotece parsera kodeka H.265 GStreamer (gst-plugins-bad) odkryto błąd przepełnienia bufora stosu. Błąd ten występuje podczas analizy wiadomości SEI dotyczącej okresu buforowania, gdzie używana jest nieprawidłowa granica pętli, co może prowadzić do zapisu poza przydzielonymi granicami pamięci stosu.

CVE-2026-53701
Średnie

W GStreamerze w parserze PPS dla H.266/VVC odkryto podatność na zapis poza granicami. W trakcie przetwarzania wieloslice'owego w funkcji gst_h266_parser_parse_picture_partition() pętla nie sprawdza, czy indeks slice'a pozostaje w granicach, co prowadzi do zapisu poza trzy tablice o stałej wielkości.

CVE-2026-47250
Średnie

mcp-server-kubernetes to serwer Model Context Protocol do zarządzania klastrami Kubernetes. W wersjach przed 3.7.0 narzędzie kubectl_generic przekazuje dostarczone przez użytkownika flagi bez żadnej listy dozwolonych, co umożliwia atak eskalacji uprawnień w środowiskach Kubernetes.

CVE-2026-47177
Średnie

Quest Bot to otwartoźródłowy nowoczesny bot Discord, który przed wersją 1.0.4 pozwalał użytkownikom konfigurować ustawienia bota, w tym kanał do przesyłania transkryptów biletów. Użytkownicy mogli ustawić ten kanał na taki, który mogli czytać, co prowadziło do ujawnienia prywatnych wiadomości biletów.

CVE-2026-47176
Średnie

Quest Bot to nowoczesny bot Discord typu open source, który przed wersją 1.0.4 pozwalał użytkownikom konfigurować ustawienia logowania, co skutkowało rejestrowaniem treści usuniętych i edytowanych wiadomości z każdego kanału, w tym prywatnych, do których użytkownik nie miał dostępu.

CVE-2026-47173
Średnie

Quest Bot to nowoczesny bot Discord, który przed wersją 1.0.3 pozwalał normalnym użytkownikom na tworzenie zgłoszeń z powodami zawierającymi wzmianki @everyone, @here, wzmianki użytkowników lub ról. W momencie tworzenia zgłoszenia, bot publikował kontrolowany przez atakującego powód w nowym kanale zgłoszeń, nie tłumiąc wzmianków.

CVE-2026-47167
Średnie

W edytorze tekstu Vim przed wersją 9.2.0496 występuje podatność na wstrzykiwanie kodu w funkcji s:stepmatch() wtyczki dla typu pliku cucumber. Wzorce definicji kroków odczytywane z plików .rb mogą być wykorzystane do wykonania dowolnych poleceń Ruby, co stwarza ryzyko wykonania złośliwego kodu.

CVE-2025-46313
Średnie

Problem z logowaniem został rozwiązany poprzez poprawę redakcji danych. Aplikacja może mieć dostęp do wrażliwych danych użytkownika.

CVE-2025-46308
Średnie

Problem z autoryzacją został rozwiązany poprzez poprawę zarządzania stanem. Aplikacja może być w stanie ujawnić wrażliwe informacje użytkownika.

CVE-2025-46293
Średnie

Problem dotyczy niewłaściwego zarządzania dowiązaniami symbolicznymi, co może pozwolić aplikacji na dostęp do chronionych danych użytkownika. Został naprawiony w macOS Sequoia 15.4.

CVE-2025-43339
Średnie

Problem z dostępem został rozwiązany poprzez dodatkowe ograniczenia w piaskownicy. Został naprawiony w macOS Tahoe 26.1.

CVE-2025-43278
Średnie

Problem ten został rozwiązany poprzez poprawione zarządzanie dowiązaniami symbolicznymi. Aplikacja może uzyskać dostęp do chronionych danych użytkownika.

CVE-2025-30459
Średnie

Problem z prywatnością został rozwiązany poprzez usunięcie podatnego kodu. Problem ten został naprawiony w macOS Sequoia 15.4.

CVE-2025-30431
Średnie

Problem został rozwiązany poprzez poprawę kontroli. Został naprawiony w macOS Sequoia 15.4, macOS Sonoma 14.7.5 oraz macOS Ventura 13.7.5.

CVE-2025-24268
Średnie

Problem z analizą ścieżek katalogów został rozwiązany poprzez poprawioną walidację ścieżek. Aplikacja może mieć możliwość dostępu do wrażliwych danych użytkownika.

CVE-2025-24165
Średnie

Problem z uprawnieniami został rozwiązany poprzez wprowadzenie dodatkowych ograniczeń. Aplikacja może być w stanie spowodować nieoczekiwane zakończenie działania systemu.

CVE-2026-47157
Średnie

aiograpi to asynchroniczne API Instagramu dla Pythona. W wersjach przed 0.9.10 akceptowano ścieżki wyzwań dostarczane przez serwer, co mogło prowadzić do budowania adresów URL żądań bez wcześniejszej walidacji, co stwarzało ryzyko ataków.

CVE-2026-46698
Średnie

Wtyczka Fediverse Embeds przed wersją 1.5.9 miała lukę, która pozwalała na nieautoryzowane wywołanie akcji AJAX wp_ajax_nopriv_ftf_get_site_info, umożliwiając atakującym pobieranie informacji z zewnętrznych adresów URL.

PoprzedniaStrona 111 z 511Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS