Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-40088
Krytyczne

PraisonAI to system zespołów wieloagentowych. W wersjach przed 4.5.121 funkcja execute_command oraz wykonanie powłoki workflow były narażone na dane wejściowe kontrolowane przez użytkownika, co pozwalało atakującym na wstrzykiwanie dowolnych poleceń powłoki za pomocą metaznaków powłoki.

CVE-2026-29145
Krytyczne

W Apache Tomcat oraz Apache Tomcat Native występuje podatność, która powoduje, że uwierzytelnianie CLIENT_CERT nie kończy się niepowodzeniem w oczekiwany sposób, gdy opcja soft fail jest wyłączona. Problem ten dotyczy wielu wersji Tomcat oraz Tomcat Native.

CVE-2025-13926
Krytyczne

Atakujący może wykorzystać dane uzyskane przez podsłuchiwanie ruchu sieciowego do fałszowania pakietów, co pozwala na wysyłanie dowolnych żądań do urządzenia Contemporary Controls BASC 20T.

CVE-2026-39912
Krytyczne

V2Board w wersjach od 1.6.1 do 1.7.4 oraz Xboard do wersji 0.1.9 ujawniają tokeny uwierzytelniające w odpowiedziach HTTP na końcówce loginWithMailLink, gdy funkcja login_with_mail_link_enable jest aktywna. Nieautoryzowani atakujący mogą wysłać żądanie POST do tej końcówki z znanym adresem e-mail, aby otrzymać pełny adres URL uwierzytelnienia w odpowiedzi.

CVE-2026-34987
Krytyczne

Wasmtime to środowisko uruchomieniowe dla WebAssembly. W wersjach od 25.0.0 do przed 36.0.7, 42.0.2 i 43.0.1, Wasmtime z kompilatorem Winch może pozwolić na dostęp do pamięci hosta poza piaskownicą pamięci liniowej, jeśli użyty zostanie kompilator Winch.

CVE-2026-31170
Krytyczne

W oprogramowaniu układowym ToToLink A3300R w wersji v17.0.0cu.557_B20221024 odkryto problem, który pozwala atakującym na wykonywanie dowolnych poleceń za pomocą parametru stun-pass w /cgi-bin/cstecgi.cgi.

CVE-2026-28205
Krytyczne

OpenPLC_V3 jest podatny na lukę związaną z inicjalizacją zasobu z niebezpiecznym domyślnym ustawieniem, co może umożliwić atakującemu uzyskanie dostępu do systemu poprzez ominięcie uwierzytelnienia za pomocą API.

CVE-2026-39987
Krytyczne

Marimo to reaktywny notatnik Pythona, który przed wersją 0.23.0 miał podatność na zdalne wykonanie kodu (RCE) bez uwierzytelnienia. Punkt końcowy WebSocket /terminal/ws nie weryfikuje uwierzytelnienia, co pozwala nieautoryzowanemu atakującemu uzyskać pełny dostęp do powłoki PTY i wykonywać dowolne polecenia systemowe.

CVE-2026-39980
Krytyczne

OpenCTI to otwartoźródłowa platforma do zarządzania wiedzą o zagrożeniach cybernetycznych. W wersjach przed 6.9.5 plik safeEjs.ts nieprawidłowo sanitizuje szablony EJS, co pozwala użytkownikom z uprawnieniami do zarządzania dostosowaniami na uruchamianie dowolnego kodu JavaScript w kontekście procesu platformy OpenCTI podczas wykonywania szablonów powiadomień.

CVE-2026-39962
Krytyczne

MISP to platforma do zarządzania informacjami o zagrożeniach. W wersjach przed 2.5.36 występuje podatność na wstrzykiwanie LDAP z powodu niewłaściwego neutralizowania specjalnych elementów w zapytaniu LDAP, co pozwala na manipulację filtrem wyszukiwania LDAP.

CVE-2026-39958
Krytyczne

Pakiet oma, menedżer pakietów dla AOSC OS, przed wersją 1.25.2, nie sprawdzał transliteracji pola nazwy w metadanych manifestów tematów. Złośliwy podmiot mógł dostarczyć wadliwy manifest, co prowadziło do dodania złośliwych wpisów źródłowych APT do pliku /etc/apt/sources.list.d/atm.list.

CVE-2026-30479
Krytyczne

W podatności typu wstrzyknięcia biblioteki dynamicznej w OSGeo Project MapServer przed wersją 8.0, atakujący mogą wykonywać dowolny kod za pomocą przygotowanego pliku wykonywalnego.

CVE-2025-15480
Krytyczne

W systemie Ubuntu, wersja ubuntu-desktop-provision 24.04.4 może ujawniać wrażliwe dane uwierzytelniające użytkowników podczas raportowania awarii. W przypadku niepowodzenia instalacji, jeśli użytkownik zgłosiłby błąd do Launchpad, ubuntu-desktop-provision mógłby dołączyć hash hasła użytkownika do załączonych logów.

CVE-2026-5445
Krytyczne

W funkcji `DecodeLookupTable` w pliku `DicomImageDecoder.cpp` występuje podatność na odczyt poza zakresem. Logika dekodowania tabeli wyszukiwania dla obrazów w kolorze palety nie weryfikuje indeksów pikseli względem rozmiaru tabeli, co może prowadzić do odczytu pamięci poza przydzieloną tabelą.

CVE-2026-5443
Krytyczne

Istnieje podatność na przepełnienie bufora w stercie podczas dekodowania obrazów DICOM z kolorami palety. Walidacja długości pikseli wykorzystuje 32-bitowe mnożenie do obliczeń szerokości i wysokości, co może prowadzić do błędnych wyników walidacji w przypadku przepełnienia tych wartości.

CVE-2026-5442
Krytyczne

Występuje podatność typu przepełnienie bufora w sterowniku dekodera obrazów DICOM. Pola wymiarów są kodowane przy użyciu reprezentacji wartości (VR) Unsigned Long (UL), zamiast oczekiwanej VR Unsigned Short (US), co pozwala na przetwarzanie ekstremalnie dużych wymiarów.

CVE-2025-62718
KrytyczneEPSS 64%

Podatność w bibliotece Axios przed wersjami 1.15.0 i 0.31.0 nieprawidłowo normalizuje nazwy hostów podczas sprawdzania reguł NO_PROXY. Żądania do adresów pętli zwrotnej, takich jak localhost. (z kropką na końcu) lub [::1] (adres IPv6), omijają dopasowanie NO_PROXY i są kierowane przez skonfigurowany serwer proxy.

CVE-2025-50228
Krytyczne

Jizhicms w wersji 2.5.4 jest podatny na atak typu Server-Side Request Forgery (SSRF) w modułach Oceny Użytkownika, Wiadomości i Komentarzy.

CVE-2025-57735
Krytyczne

Podatność dotyczy braku unieważnienia tokena JWT po wylogowaniu użytkownika, co może prowadzić do jego ponownego użycia w przypadku przechwycenia. W wersji Airflow 3.2 wprowadzono mechanizm unieważniania tokenów przy wylogowaniu.

CVE-2026-34184
Krytyczne

System Kontroli Hydrosystem nie wymusza autoryzacji dla niektórych katalogów, co pozwala nieautoryzowanemu atakującemu na odczyt wszystkich plików w tych katalogach oraz ich wykonanie. Krytycznie, atakujący może bezpośrednio uruchamiać skrypty PHP na podłączonej bazie danych.

PoprzedniaStrona 114 z 562Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS