Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-11604
Średnie

Błędne obliczenie rozmiaru bufora w generatorze kluczy epok w OpenVPN ovpn-dco-win w wersjach od 2.0.0 do 2.8.3 umożliwia zdalnemu uwierzytelnionemu partnerowi wywołanie przepełnienia bufora w stercie oraz uszkodzenia pamięci jądra poprzez spreparowany pakiet danych, co prowadzi do awarii systemu (odmowa usługi).

CVE-2026-0273
Średnie

W PAN-OS® występuje podatność na wstrzykiwanie poleceń, która pozwala uwierzytelnionemu administratorowi na ominięcie ograniczeń systemowych i uruchomienie dowolnych poleceń jako użytkownik root. Wykorzystanie tej podatności wymaga dostępu do CLI lub interfejsu webowego PAN-OS.

CVE-2026-0272
Średnie

Podatność na eskalację uprawnień w oprogramowaniu Palo Alto Networks PAN-OS® pozwala uwierzytelnionemu administratorowi z dostępem do interfejsu wiersza poleceń (CLI) na wykonywanie działań na urządzeniu z uprawnieniami roota.

CVE-2026-0271
Średnie

W aplikacji Palo Alto Networks Prisma Access Agent na urządzeniach z systemem Linux występuje podatność umożliwiająca eskalację uprawnień, która pozwala lokalnemu użytkownikowi na wykonanie kodu z podwyższonymi uprawnieniami.

CVE-2026-0270
Średnie

W oprogramowaniu silnika Palo Alto Networks Cortex XSOAR działającym na systemie Linux występuje podatność na przejście ścieżki, która pozwala nieautoryzowanemu atakującemu z sąsiedniej sieci na zapis dowolnych plików na hoście.

CVE-2026-0269
Średnie

W podatności CVE-2026-0269 występuje błąd w zarządzaniu pamięcią podczas przetwarzania ruchu tunelowego w oprogramowaniu Palo Alto Networks PAN-OS®. Umożliwia to uwierzytelnionemu użytkownikowi inicjowanie restartów systemu za pomocą złośliwie skonstruowanego pakietu.

CVE-2026-0268
Średnie

W podatności CVE-2026-0268 występuje możliwość obejścia zabezpieczeń w agencie Prisma Access dla systemu Linux, co pozwala lokalnemu atakującemu na kierowanie ruchu sieciowego poza tunel VPN.

CVE-2026-0267
Średnie

Podatność w aplikacji Palo Alto Networks GlobalProtect na macOS umożliwia lokalnemu użytkownikowi poznanie skonfigurowanych kodów dostępu do wyłączania, odłączania lub odinstalowywania aplikacji. Po poznaniu kodu użytkownik może wykonać te czynności nawet jeśli konfiguracja GlobalProtect normalnie by na to nie zezwalała.

CVE-2026-50127
Średnie

Weblate to narzędzie do lokalizacji oparte na sieci. W wersjach od 5.15 do przed wersją 2026.6, VCS_RESTRICT_PRIVATE nieprawidłowo uwzględniał niektóre przejściowe zakresy IPv6, adresy multicastowe oraz niektóre półprywatne zakresy IPv4, co pozwalało na ominięcie ograniczeń dotyczących prywatnych zakresów adresów.

CVE-2026-46683
Średnie

Snappy to biblioteka PHP umożliwiająca generowanie miniaturek, zrzutów ekranu lub plików PDF z adresu URL lub strony HTML. Przed wersją 1.7.0 występowała podatność na SSRF oraz odczyt lokalnych plików za pomocą opcji xsl-style-sheet.

CVE-2026-45106
Średnie

Weblate to narzędzie do lokalizacji oparte na sieci. Przed wersją 2026.5, podgląd na żywo w Weblate renderował źródło jednostki i kontekst jako HTML bez odpowiedniego zabezpieczenia, co mogło prowadzić do wykonania niebezpiecznego kodu.

CVE-2026-50639
Średnie

Wersje Metrics::Any::Adapter::SignalFx przed 0.04 dla Perla nie chronią przed wstrzyknięciami metryk. Protokół statsd pozwala na wysyłanie wielu metryk w jednym pakiecie, co stwarza ryzyko.

CVE-2026-11626
Średnie

Narzędzie CleanWipe Removal Tool (macOS) w wersjach przed 16.0.0.65 może być podatne na lukę w zakresie eskalacji uprawnień lokalnych. Atakujący z ograniczonym dostępem może zwiększyć swoje uprawnienia, uzyskując kontrolę administracyjną.

CVE-2026-10740
Średnie

Nieograniczona alokacja pamięci w reassemblerze ramek CRYPTO w s2n-quic przed wersją 1.8.2 może umożliwić nieautoryzowanemu zdalnemu aktorowi spowodowanie odmowy usługi poprzez wysyłanie spreparowanych pakietów QUIC Initial.

CVE-2026-50569
Średnie

Fission to framework serverless, natywny dla Kubernetes, który przed wersją 1.25.0 nieprawidłowo walidował pola RelativeURL i Prefix w HTTPTriggerSpec.Validate(). Te pola były weryfikowane tylko na poziomie CLI, co pozwalało na obejście kontroli URL przy użyciu kubectl lub bezpośrednich wywołań REST API Kubernetes.

CVE-2026-50565
Średnie

Fission, framework serverless oparty na Kubernetes, przed wersją 1.24.0 tworzył pody budownicze z automatycznie montowanym tokenem konta usługi, co mogło prowadzić do nieautoryzowanego dostępu do zasobów. Problem został naprawiony w wersji 1.24.0.

CVE-2026-46642
Średnie

Aplikacja draw.io przed wersją 29.7.12 zawiera podatność, która pozwala na wykonanie dowolnego kodu JavaScript poprzez specjalnie przygotowany plik .drawio. Problem występuje w panelu formatu tekstowego, gdzie surowa etykieta komórki jest przypisywana do elementu bez odpowiedniej sanitizacji.

CVE-2026-46618
Średnie

Fission to framework serverless, natywny dla Kubernetes, który przed wersją 1.23.0 miał lukę w bezpieczeństwie. W pliku pkg/builder/builder.go, polecenie Environment.spec.builder.command było przekazywane bez walidacji, co umożliwiało wykonanie dowolnego kodu w kontekście podu budującego.

CVE-2026-20260
Średnie

W wersjach Splunk SOAR poniżej 8.5.0, nieautoryzowany atakujący może wstrzykiwać kody ucieczki ANSI do plików dzienników aplikacji SOAR poprzez specjalnie przygotowane ścieżki żądań HTTP. Wstrzyknięcie jest możliwe, ponieważ SOAR nie usuwa znaków kontrolnych z ścieżek żądań HTTP przed zapisaniem ich do dzienników aplikacji.

CVE-2026-20259
Średnie

W wersjach Splunk Enterprise poniżej 10.2.4 i 10.0.7 oraz Splunk Cloud Platform poniżej 10.4.2604.0, 10.3.2512.12, 10.2.2510.15, 10.1.2507.23, 10.0.2503.14 i 9.3.2411.131, użytkownik z rolą posiadającą uprawnienie `edit_saved_search_owner` może przypisać własność zapisanych wyszukiwań użytkownikom spoza swojego autoryzowanego zakresu. Punkt końcowy przypisania własności nie ma kontroli dostępu.

PoprzedniaStrona 122 z 540Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS