Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-46683
Średnie

Snappy to biblioteka PHP umożliwiająca generowanie miniaturek, zrzutów ekranu lub plików PDF z adresu URL lub strony HTML. Przed wersją 1.7.0 występowała podatność na SSRF oraz odczyt lokalnych plików za pomocą opcji xsl-style-sheet.

CVE-2026-45106
Średnie

Weblate to narzędzie do lokalizacji oparte na sieci. Przed wersją 2026.5, podgląd na żywo w Weblate renderował źródło jednostki i kontekst jako HTML bez odpowiedniego zabezpieczenia, co mogło prowadzić do wykonania niebezpiecznego kodu.

CVE-2026-50639
Średnie

Wersje Metrics::Any::Adapter::SignalFx przed 0.04 dla Perla nie chronią przed wstrzyknięciami metryk. Protokół statsd pozwala na wysyłanie wielu metryk w jednym pakiecie, co stwarza ryzyko.

CVE-2026-11626
Średnie

Narzędzie CleanWipe Removal Tool (macOS) w wersjach przed 16.0.0.65 może być podatne na lukę w zakresie eskalacji uprawnień lokalnych. Atakujący z ograniczonym dostępem może zwiększyć swoje uprawnienia, uzyskując kontrolę administracyjną.

CVE-2026-10740
Średnie

Nieograniczona alokacja pamięci w reassemblerze ramek CRYPTO w s2n-quic przed wersją 1.8.2 może umożliwić nieautoryzowanemu zdalnemu aktorowi spowodowanie odmowy usługi poprzez wysyłanie spreparowanych pakietów QUIC Initial.

CVE-2026-50569
Średnie

Fission to framework serverless, natywny dla Kubernetes, który przed wersją 1.25.0 nieprawidłowo walidował pola RelativeURL i Prefix w HTTPTriggerSpec.Validate(). Te pola były weryfikowane tylko na poziomie CLI, co pozwalało na obejście kontroli URL przy użyciu kubectl lub bezpośrednich wywołań REST API Kubernetes.

CVE-2026-50565
Średnie

Fission, framework serverless oparty na Kubernetes, przed wersją 1.24.0 tworzył pody budownicze z automatycznie montowanym tokenem konta usługi, co mogło prowadzić do nieautoryzowanego dostępu do zasobów. Problem został naprawiony w wersji 1.24.0.

CVE-2026-46642
Średnie

Aplikacja draw.io przed wersją 29.7.12 zawiera podatność, która pozwala na wykonanie dowolnego kodu JavaScript poprzez specjalnie przygotowany plik .drawio. Problem występuje w panelu formatu tekstowego, gdzie surowa etykieta komórki jest przypisywana do elementu bez odpowiedniej sanitizacji.

CVE-2026-46618
Średnie

Fission to framework serverless, natywny dla Kubernetes, który przed wersją 1.23.0 miał lukę w bezpieczeństwie. W pliku pkg/builder/builder.go, polecenie Environment.spec.builder.command było przekazywane bez walidacji, co umożliwiało wykonanie dowolnego kodu w kontekście podu budującego.

CVE-2026-20260
Średnie

W wersjach Splunk SOAR poniżej 8.5.0, nieautoryzowany atakujący może wstrzykiwać kody ucieczki ANSI do plików dzienników aplikacji SOAR poprzez specjalnie przygotowane ścieżki żądań HTTP. Wstrzyknięcie jest możliwe, ponieważ SOAR nie usuwa znaków kontrolnych z ścieżek żądań HTTP przed zapisaniem ich do dzienników aplikacji.

CVE-2026-20259
Średnie

W wersjach Splunk Enterprise poniżej 10.2.4 i 10.0.7 oraz Splunk Cloud Platform poniżej 10.4.2604.0, 10.3.2512.12, 10.2.2510.15, 10.1.2507.23, 10.0.2503.14 i 9.3.2411.131, użytkownik z rolą posiadającą uprawnienie `edit_saved_search_owner` może przypisać własność zapisanych wyszukiwań użytkownikom spoza swojego autoryzowanego zakresu. Punkt końcowy przypisania własności nie ma kontroli dostępu.

CVE-2026-20257
Średnie

W wersjach Splunk Enterprise poniżej 10.2.4, 10.0.7, 9.4.12 i 9.3.13 oraz Splunk Cloud Platform poniżej 10.3.2512.13, 10.2.2510.15, 10.1.2507.23 i 9.3.2411.132, użytkownik o niskich uprawnieniach może stworzyć klasyczny pulpit nawigacyjny, który wykrada wrażliwe dane z przeglądarki użytkownika o wyższych uprawnieniach. Problem wynika z braku pełnej walidacji wartości atrybutów stylu w panelach klasycznych pulpitów nawigacyjnych.

CVE-2026-20256
Średnie

W wersjach Splunk Enterprise poniżej 10.2.4, 10.0.7, 9.4.12 i 9.3.13 oraz Splunk Cloud Platform poniżej 10.3.2512.13, 10.2.2510.15, 10.1.2507.23 i 9.3.2411.132, użytkownik o niskich uprawnieniach może doprowadzić do wycieku danych poprzez klasyczne pulpity nawigacyjne, przekierowując ofiarę na zewnętrzną stronę za pomocą URL-a względnego protokołu w linku drill-down.

CVE-2026-20255
Średnie

W wersjach Splunk Enterprise poniżej 10.2.4, 10.0.7, 9.4.12 i 9.3.13 oraz Splunk Cloud Platform poniżej 10.3.2512.13, 10.2.2510.15, 10.1.2507.23 i 9.3.2411.132, użytkownik o niskich uprawnieniach może stworzyć złośliwy klasyczny pulpit nawigacyjny, który wykrada wrażliwe dane do zewnętrznego serwera.

CVE-2026-20254
Średnie

W wersjach Splunk Enterprise poniżej 10.2.4, 10.0.7, 9.4.12 i 9.3.13 oraz Splunk Cloud Platform poniżej 10.3.2512.13, 10.2.2510.15, 10.1.2507.23 i 9.3.2411.132, użytkownik o niskich uprawnieniach może stworzyć złośliwy pulpit nawigacyjny, który wykrada wrażliwe dane do zewnętrznego serwera, gdy wyższy uprawniony użytkownik go wyświetli. Wykorzystuje to lukę w walidacji atrybutów stylu inline przez mechanizm Trusted Domains.

CVE-2026-11596
Średnie

W wersjach ScreenConnect™ przed 26.2, walidacja danych wejściowych w funkcji tworzenia Host Pass mogła pozwolić uwierzytelnionemu użytkownikowi z uprawnieniami do tworzenia Host Pass na określenie czasu wygaśnięcia tokenu poza zamierzonym maksymalnym limitem.

CVE-2026-46616
Średnie

Umbraco to system zarządzania treścią oparty na ASP.NET. W wersjach przed 13.14.0 i 17.4.0 niektóre kontrolery Surface w CMS nie walidują URL-i przekierowań, co naraża szablony Razor, które korzystają z parametrów zapytania kontrolowanych przez użytkownika, na ataki związane z złośliwym przekierowaniem.

CVE-2026-46609
Średnie

Umbraco to system zarządzania treścią oparty na ASP.NET. Użytkownicy z autoryzacją mogą wstrzykiwać HTML do pola wejściowego, co skutkuje jego renderowaniem w oknie dialogowym potwierdzenia bez odpowiedniego kodowania wyjścia.

CVE-2026-53698
Średnie

Silverpeas w wersjach do 6.4.6 niewłaściwie obsługuje funkcję 'Przestrzeń osobista', gdy nie jest ustawiony identyfikator komponentu (componentId).

CVE-2026-53693
Średnie

W MISP BSimVis występuje podatność na przechowywane ataki typu cross-site scripting (XSS) w kodzie renderowania tagów. Wiele ścieżek renderowania po stronie klienta interpoluje nazwy tagów, nazwy kolekcji, identyfikatory encji, nazwy klastrów i metadane tagów bez odpowiedniego kontekstu, co umożliwia atakującym wstrzykiwanie złośliwego kodu.

PoprzedniaStrona 116 z 513Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS