Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-53439
Średnie

Brak kontroli uprawnień w Jenkins 2.567 i wcześniejszych wersjach, LTS 2.555.2 i wcześniejszych, umożliwia atakującym z uprawnieniami Overall/Read określenie skonfigurowanej strefy czasowej innych użytkowników oraz enumerację nazw widoków innych użytkowników w sekcji 'Moje widoki'.

CVE-2026-53438
Średnie

Brak weryfikacji uprawnień w Jenkins 2.567 i wcześniejszych, LTS 2.555.2 i wcześniejszych, umożliwia atakującym z uprawnieniami Item/Cancel, ale bez uprawnień Item/Read, anulowanie elementów w kolejce, do których nie mają dostępu.

CVE-2026-53437
Średnie

Podatność w Jenkins 2.567 i wcześniejszych oraz LTS 2.555.2 i wcześniejszych polega na nieprawidłowym określaniu, że adres URL przekierowania po logowaniu jest legalnie skierowany do Jenkinsa, gdy zawiera znaki tabulacji lub nowej linii między `//`. Umożliwia to atakującym przeprowadzanie ataków phishingowych.

CVE-2026-53436
Średnie

Jenkins w wersjach 2.567 i wcześniejszych oraz LTS 2.555.2 i wcześniejszych nieprawidłowo określa, że adres URL przekierowania po zalogowaniu prawidłowo wskazuje na Jenkins, gdy zawiera segmenty ścieżki względnej (`./` lub `../`). To umożliwia atakującym przeprowadzanie ataków phishingowych.

CVE-2026-52759
Średnie

Ghidra w wersjach przed 12.1.1 zawiera podatność na niekontrolowaną alokację pamięci w parserze binarnym Mach-O, co pozwala atakującym na wywołanie odmowy usługi. Atakujący może dostarczyć spreparowany plik Mach-O z dowolnie dużą wartością ncmds, co zmusza parser do alokacji nadmiernej pamięci na stercie, co prowadzi do awarii JVM Ghidra.

CVE-2026-52757
Średnie

Ghidra przed wersją 12.1 zawiera podatność typu heap-use-after-free w funkcji HighVariable::merge() podczas łączenia zmiennych. Atakujący mogą wykorzystać tę podatność, tworząc binarny plik, który powoduje dereferencję przestarzałych wskaźników w pamięci podręcznej HighIntersectTest::highedgemap.

CVE-2026-52756
Średnie

Ghidra przed wersją 12.2 zawiera podatność na nieautoryzowany dostęp do systemu plików w IsfServer, który akceptuje połączenia TCP i przekazuje dostarczone przez klienta ciągi nazw przestrzeni bez walidacji. Zdalni atakujący mogą połączyć się z portem 54321 i wysyłać spreparowane wiadomości protobuf z sekwencjami przejścia, aby enumerować ścieżki systemu plików i badać dowolne pliki.

CVE-2026-52753
Średnie

Ghidra w wersjach przed 12.0.3 zawiera podatność na wyczerpanie pamięci w funkcji rust_demangle, która alokuje nieograniczone bufory wyjściowe bez limitów rozmiaru. Atakujący mogą stworzyć złośliwe nazwy symboli Rust w binariach, co prowadzi do wykładniczej alokacji pamięci i awarii procesów podczas analizy binarnej.

CVE-2026-49496
Średnie

Ghidra przed wersją 12.1 zawiera podatność typu heap-use-after-free w funkcji SleighBuilder::generatePointerAdd, spowodowaną unieważnieniem iteratora podczas ponownej alokacji wektora przez PcodeCacher::allocateInstruction. Atakujący mogą wywołać uszkodzenie pamięci, dekompilując złośliwe binaria za pomocą publicznego interfejsu C++ Sleigh::oneInstruction.

CVE-2026-49495
Średnie

Ghidra w wersji 10.2 przed 12.1 zawiera podatność na niekontrolowane zużycie zasobów w funkcji ExportTrie.parseTrie(). Brak detekcji cykli podczas przetwarzania binarnych plików Mach-O prowadzi do nieograniczonego wzrostu kolejki i wykładniczej konkatenacji łańcuchów.

CVE-2026-11853
Średnie

Debusine to zintegrowane rozwiązanie do budowy, dystrybucji i utrzymania dystrybucji opartej na Debianie. Parser używany do odczytu plików manifestu akceptował dowolne, w pełni kontrolowane przez użytkownika ścieżki, co mogło prowadzić do tworzenia dowolnych linków symbolicznych na serwerze roboczym.

CVE-2026-11852
Średnie

Debusine to zintegrowane rozwiązanie do budowy, dystrybucji i utrzymania dystrybucji opartej na Debianie. Punkty końcowe, które tworzą i usuwają relacje między artefaktami, nie wprowadzają żadnych kontroli uprawnień poza możliwością zobaczenia odpowiednich artefaktów.

CVE-2026-9019
Średnie

Wtyczka Easy Image Collage dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez parametry 'grid[properties][borderColor]' oraz 'grid[images][N][attachment_url]' w wersjach do 1.13.6 włącznie, z powodu niewystarczającej sanitizacji danych wejściowych i ucieczki danych wyjściowych.

CVE-2026-8853
Średnie

Wtyczka MW WP Form dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez parametr 'memo' w wersjach do 5.1.3 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie edytora i wyżej wstrzykiwanie dowolnych skryptów webowych na stronach, które będą wykonywane przy każdym dostępie użytkownika do zainfekowanej strony.

CVE-2026-8613
Średnie

Wtyczka aThemes Addons dla Elementora w WordPressie jest podatna na przechowywane ataki Cross-Site Scripting poprzez ustawienie 'title_tag' Widgetu w wersjach do 1.1.8 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie współtwórcy i wyżej wstrzykiwanie dowolnych skryptów webowych na stronach.

CVE-2026-29115
Średnie

W niektórych produktach Dahua odkryto podatność, która może pozwolić uwierzytelnionemu zdalnemu atakującemu na wysłanie specjalnie przygotowanego pakietu, co prowadzi do nieoczekiwanego restartu systemu i w rezultacie do odmowy usługi.

CVE-2026-11815
ŚrednieEPSS 61%

Atakujący, który przechwyci i zmodyfikuje ruch między aplikacją kliencką a serwerem API Gateway, może potencjalnie deserializować dowolne obiekty. Ta podatność może prowadzić do naruszenia oczekiwań bezpieczeństwa lub zdalnego wykonania kodu.

CVE-2025-8444
Średnie

Wtyczka Animation Addons dla Elementor, zasilana przez GSAP, jest podatna na ataki typu DOM-Based Stored Cross-Site Scripting w wersjach do 2.6.7 włącznie. Problem wynika z niewystarczającej sanitizacji danych wejściowych oraz ucieczki danych wyjściowych, co pozwala na wstrzykiwanie dowolnych skryptów webowych przez uwierzytelnionych atakujących z dostępem na poziomie Contributor i wyżej.

CVE-2026-24720
Średnie

Zgłoszono podatność w File Station 6, polegającą na przydzielaniu zasobów bez ograniczeń lub throttlingu. Zdalny atakujący, posiadając konto użytkownika, może wykorzystać tę podatność, aby uniemożliwić innym systemom, aplikacjom lub procesom dostęp do tych samych zasobów.

CVE-2026-24717
Średnie

W systemach QNAP wykryto podatność typu path traversal. Zdalny atakujący z kontem administratora może odczytać nieoczekiwane pliki lub dane systemowe.

PoprzedniaStrona 120 z 533Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS