Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-34179
Krytyczne

W wersjach Canonical LXD od 4.12 do 6.7 funkcja doCertificateUpdate w pliku lxd/certificates.go nie weryfikuje pola Type podczas obsługi żądań PUT/PATCH do /1.0/certificates/{fingerprint} dla użytkowników z ograniczonymi certyfikatami TLS, co pozwala zdalnemu uwierzytelnionemu atakującemu na eskalację uprawnień do administratora klastra.

CVE-2026-34178
Krytyczne

W Canonical LXD przed wersją 6.8, ścieżka importu kopii zapasowej weryfikuje ograniczenia projektu w pliku backup/index.yaml w dostarczonym archiwum tar, ale tworzy instancję z backup/container/backup.yaml, osobnego pliku w tym samym archiwum, który nie jest sprawdzany pod kątem ograniczeń projektu. Uwierzytelniony zdalny atakujący z uprawnieniami do tworzenia instancji w ograniczonym projekcie może stworzyć archiwum kopii zapasowej, w którym backup.yaml zawiera ograniczone ustawienia, omijając wszystkie egzekucje ograniczeń projektu.

CVE-2026-34177
Krytyczne

Wersje Canonical LXD od 4.12 do 6.7 zawierają niekompletną listę zablokowanych opcji w funkcji isVMLowLevelOptionForbidden, co pomija raw.apparmor i raw.qemu.conf. Zdalny atakujący z uprawnieniami can_edit na instancji VM w ograniczonym projekcie może wstrzyknąć regułę AppArmor oraz konfigurację QEMU, co prowadzi do eskalacji uprawnień do administratora klastra LXD i następnie do roota hosta.

CVE-2026-5854
Krytyczne

Wykryto podatność w urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024, dotycząca funkcji setWiFiEasyCfg w pliku /cgi-bin/cstecgi.cgi komponentu CGI Handler. Manipulacja argumentem merge prowadzi do wstrzyknięcia poleceń systemowych, co umożliwia zdalne przeprowadzenie ataku.

CVE-2026-5853
Krytyczne

W urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024 wykryto podatność, która dotyczy funkcji setIpv6LanCfg w pliku /cgi-bin/cstecgi.cgi. Manipulacja argumentem addrPrefixLen może prowadzić do wstrzyknięcia poleceń systemowych.

CVE-2026-5852
Krytyczne

Zidentyfikowano słabość w urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024. Problem dotyczy funkcji setIptvCfg w pliku /cgi-bin/cstecgi.cgi, gdzie manipulacja argumentem igmpVer prowadzi do zdalnego wstrzyknięcia poleceń systemowych.

CVE-2026-5851
Krytyczne

W urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024 odkryto lukę bezpieczeństwa, która dotyczy funkcji setUPnPCfg w pliku /cgi-bin/cstecgi.cgi komponentu CGI Handler. Manipulacja argumentem enable prowadzi do wstrzyknięcia poleceń systemowych.

CVE-2026-5850
Krytyczne

Zidentyfikowano podatność w urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024, która dotyczy funkcji setVpnPassCfg w pliku /cgi-bin/cstecgi.cgi. Manipulacja argumentem pptpPassThru prowadzi do wstrzyknięcia poleceń systemowych.

CVE-2026-1830
Krytyczne

Wtyczka Quick Playground dla WordPressa jest podatna na zdalne wykonanie kodu we wszystkich wersjach do i włącznie z 1.3.1. Problem wynika z niewystarczających kontroli autoryzacji na punktach końcowych REST API, które ujawniają kod synchronizacji i umożliwiają przesyłanie dowolnych plików.

CVE-2026-5902
Krytyczne

W Google Chrome na Androidzie przed wersją 147.0.7727.55 wystąpił wyścig w Media, który umożliwił zdalnemu atakującemu, który przejął proces renderowania, uszkodzenie metadanych strumienia multimedialnego za pomocą spreparowanej strony HTML.

CVE-2026-5874
Krytyczne

W Google Chrome przed wersją 147.0.7727.55 wystąpiła podatność typu use after free w PrivateAI, która pozwalała zdalnemu atakującemu na przeprowadzenie ucieczki z piaskownicy poprzez specjalnie przygotowaną stronę HTML, jeśli użytkownik wykonałby określone gesty interfejsu użytkownika.

CVE-2026-40035
Krytyczne

Unfurl w wersji 2025.08 zawiera podatność na niewłaściwą walidację wejścia w analizie konfiguracji, która domyślnie włącza tryb debugowania Flask. Wartość konfiguracji debugowania jest odczytywana jako ciąg znaków i przekazywana bezpośrednio do app.run(), co pozwala na ocenę każdej niepustej wartości jako prawdziwej.

CVE-2026-39892
Krytyczne

Podatność w bibliotece cryptography dla języka Python umożliwia przepełnienie bufora podczas przetwarzania nieciągłych buforów przekazanych do API takich jak Hash.update(). Problem dotyczy wersji od 45.0.0 do 46.0.6.

CVE-2026-39890
Krytyczne

PraisonAI to system zespołów wieloagentowych. W wersjach przed 4.5.115 metoda AgentService.loadAgentFromFile wykorzystuje bibliotekę js-yaml do analizy plików YAML, nie wyłączając niebezpiecznych znaczników, co pozwala na wykonanie dowolnego kodu JavaScript przez atakującego.

CVE-2026-39888
Krytyczne

PraisonAI to system zespołów wieloagentowych. W wersjach przed 1.5.115 funkcja execute_code() w praisonaiagents.tools.python_tools domyślnie ustawia sandbox_mode na 'sandbox', co pozwala na uruchamianie kodu użytkownika w subprocessie z ograniczonym słownikiem __builtins__ i blokadą opartą na AST. Blokada ta nie obejmuje wszystkich atrybutów, co umożliwia obejście zabezpieczeń.

CVE-2026-39860
Krytyczne

Nix to menedżer pakietów dla systemów Linux i innych systemów Unix. Błąd w poprawce dla CVE-2024-27297 umożliwia dowolne nadpisywanie plików, które mogą być zapisywane przez proces Nix, co może prowadzić do uzyskania uprawnień roota przez użytkowników w instalacjach wieloużytkownikowych.

CVE-2026-2942
Krytyczne

Wtyczka ProSolution WP Client dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji 'proSol_fileUploadProcess' we wszystkich wersjach do 1.9.9 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.

CVE-2025-52221
Krytyczne

Tenda AC6 w wersji 15.03.05.16_multi jest podatna na przepełnienie bufora w funkcji formSetCfm, które występuje poprzez parametry funcname, funcpara1 i funcpara2.

CVE-2026-31017
Krytyczne

W ERPNext v16.0.1 i Frappe Framework v16.1.1 wykryto podatność SSRF w funkcji generowania PDF z formatów wydruku. Niewystarczająca sanityzacja HTML dostarczanego przez użytkownika pozwala na osadzenie elementów takich jak <iframe>, które są pobierane przez serwer. Atakujący może wykorzystać to do wykonywania żądań HTTP do wewnętrznych usług, w tym do punktów końcowych metadanych chmury, co grozi wyciekiem poufnych informacji.

CVE-2023-46945
Krytyczne

QD 20230821 jest podatny na atak typu Server-side request forgery (SSRF) poprzez odpowiednio skonstruowane żądanie. Atakujący może wykorzystać tę podatność do wysyłania żądań do wewnętrznych zasobów serwera.

PoprzedniaStrona 115 z 562Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS