Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-49219
Średnie

ImageMagick przed wersjami 6.9.13-48 i 7.1.2-24 miał problem z nieprawidłowym parsowaniem nazw plików, co mogło prowadzić do obejścia polityki bezpieczeństwa i odczytu plików zabronionych przy użyciu symlinków.

CVE-2026-48994
Średnie

ImageMagick przed wersjami 6.9.13-48 i 7.1.2-24 miał brak sprawdzenia wartości zwracanej, co mogło prowadzić do nadpisania bufora w stercie w dekoderze MAT na systemach 32-bitowych. Problem został naprawiony w wersjach 6.9.13-48 i 7.1.2-24.

CVE-2026-48734
Średnie

ImageMagick przed wersjami 6.9.13-49 i 7.1.2-24 zawierał podatność na przepełnienie stosu spowodowaną brakiem sprawdzenia głębokości lub zestawu odwiedzonych elementów w plikach MVG. Problem został naprawiony w wymienionych wersjach.

CVE-2026-48733
Średnie

ImageMagick przed wersjami 6.9.13-49 i 7.1.2-24 zawierał błąd, który mógł prowadzić do nieskończonej pętli podczas operacji wyszukiwania subobrazów przy użyciu spreparowanego obrazu. Problem został naprawiony w wersjach 6.9.13-49 i 7.1.2-24.

CVE-2026-48724
Średnie

ImageMagick przed wersją 7.1.2-24 ma podatność na nadpisanie bufora w stercie, gdy używa się obrazu z maską przy metodzie ditheringu Floyd-Steinberga.

CVE-2026-47734
Średnie

Dulwich, implementacja formatów i protokołów Git w czystym Pythonie, ma podatność, która pozwala klientowi z dostępem do push na wysłanie małego, spreparowanego pakietu, co prowadzi do alokacji ogromnej ilości pamięci. Problem dotyczy wersji od 0.1.0 do 1.2.5 i został naprawiony w wersji 1.2.5.

CVE-2026-47213
Średnie

Boxlite to usługa sandbox, która pozwala użytkownikom na tworzenie lekkich maszyn wirtualnych i uruchamianie kontenerów OCI. W wersjach 0.8.2 i wcześniejszych, Boxlite używa sygnału SIGALRM do zakończenia procesów po upływie czasu, co może być wykorzystane przez złośliwy kod do kontynuowania działania, prowadząc do wyczerpania zasobów.

CVE-2026-47166
Średnie

ImageMagick przed wersjami 6.9.13-48 i 7.1.2-23 zawierał podatność, która pozwalała atakującemu na wywołanie nadmiernego odczytu bufora w procesie serwera, jeśli miał dostęp do usługi magick -distribute-cache.

CVE-2026-47165
Średnie

ImageMagick przed wersjami 6.9.13-48 i 7.1.2-23 miał rozproszoną pamięć podręczną pikseli, która nie wymagała modelu uwierzytelniania opartego na wyzwaniu i odpowiedzi. Wprowadzono zmiany w nowszych wersjach, aby poprawić bezpieczeństwo.

CVE-2026-46693
Średnie

ImageMagick przed wersjami 6.9.13-48 i 7.1.2-23 zawierał podatność, która pozwalała atakującemu na przejęcie deskryptora pliku w procesie serwera, gdy wystąpił warunek wyścigu. Problem ten został naprawiony w wymienionych wersjach.

CVE-2026-46692
Średnie

ImageMagick przed wersjami 6.9.13-48 i 7.1.2-23 zawierał podatność, która pozwalała atakującemu na wykonanie nadpisania bufora w stercie w procesie serwera, jeśli miał dostęp do usługi magick -distribute-cache.

CVE-2026-46645
Średnie

SQLAdmin to elastyczny interfejs administracyjny dla modeli SQLAlchemy. W wersjach przed 0.25.1 punkt końcowy ajax_lookup w application.py omija kontrolę dostępu is_accessible(), co pozwala uwierzytelnionym użytkownikom na dostęp do danych modeli, mimo że dostęp został ograniczony przez dewelopera.

CVE-2026-46559
Średnie

ImageMagick przed wersjami 6.9.13-48 i 7.1.2-23 zawierał błąd w sprawdzaniu JP2, który prowadził do nadpisania bufora w stercie o pojedynczy bajt przy określonych opcjach. Problem został naprawiony w wersjach 6.9.13-48 i 7.1.2-23.

CVE-2026-46557
Średnie

ImageMagick przed wersją 7.1.2-23 ma lukę, która może prowadzić do przepełnienia stosu w operacji fx z powodu braku sprawdzenia głębokości przy przekazywaniu odpowiednio przygotowanego argumentu.

CVE-2026-46521
Średnie

ImageMagick przed wersjami 6.9.13-48 i 7.1.2-23 zawierał lukę, która pozwalała na zapis poza przydzielonym obszarem pamięci podczas używania kompresji LZMA w enkoderze MIFF z powodu braku odpowiedniego sprawdzenia.

CVE-2026-42568
ŚrednieEPSS 75%

W frameworku Yamcs, przed wersjami 5.13.0 i 5.12.7, występuje podatność na wstrzykiwanie LDAP w module `org.yamcs.security.LdapAuthModule` podczas konstruowania filtrów wyszukiwania. Parametr nazwy użytkownika jest wstawiany bezpośrednio do filtru LDAP bez odpowiedniego zabezpieczenia zgodnego z RFC 4515.

CVE-2024-21944
Średnie

Nieprawidłowa walidacja danych wejściowych dla metadanych wykrywania obecności DIMM (SPD) może umożliwić atakującemu z fizycznym dostępem, dostępem ring0 na systemie z niezgodnym DIMM lub kontrolą nad Root of Trust dla aktualizacji BIOS, potencjalne nadpisanie pamięci gościa, co prowadzi do utraty integralności danych gościa.

CVE-2026-53742
Średnie

Simple Link Directory w wersji 9.0.4 nieprawidłowo przetwarza atrybuty shortcode, co prowadzi do ich odzwierciedlenia w atrybutach danych HTML bez odpowiedniego zabezpieczenia. Atakujący z dostępem do konta współtwórcy mogą stworzyć atrybut shortcode, który wstrzykuje handler zdarzeń wykonujący się w przeglądarce użytkownika.

CVE-2026-53741
Średnie

Simple Link Directory w wersji 9.0.4 interpoluje opcję sld_no_results_found do literału ciągu JavaScript bez kodowania. Z powodu tego, że sanitize_text_field pozostawia cudzysłowy nietknięte, przechowywany ładunek może wydostać się z ciągu i uruchomić skrypt dla każdego odwiedzającego stronę.

CVE-2026-53740
Średnie

Wtyczka Yoast Duplicate Post w wersji do 4.6 wprowadza nieosłonięty tytuł posta i permalink do powiadomienia o zaplanowanym ponownym opublikowaniu w klasycznym edytorze. Atakujący mogą zaplanować ponowne opublikowanie kopii z przygotowanym tytułem, aby wykonać skrypt, gdy administrator wyświetli wynikowe powiadomienie.

PoprzedniaStrona 114 z 511Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS