Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-20257
Średnie

W wersjach Splunk Enterprise poniżej 10.2.4, 10.0.7, 9.4.12 i 9.3.13 oraz Splunk Cloud Platform poniżej 10.3.2512.13, 10.2.2510.15, 10.1.2507.23 i 9.3.2411.132, użytkownik o niskich uprawnieniach może stworzyć klasyczny pulpit nawigacyjny, który wykrada wrażliwe dane z przeglądarki użytkownika o wyższych uprawnieniach. Problem wynika z braku pełnej walidacji wartości atrybutów stylu w panelach klasycznych pulpitów nawigacyjnych.

CVE-2026-20256
Średnie

W wersjach Splunk Enterprise poniżej 10.2.4, 10.0.7, 9.4.12 i 9.3.13 oraz Splunk Cloud Platform poniżej 10.3.2512.13, 10.2.2510.15, 10.1.2507.23 i 9.3.2411.132, użytkownik o niskich uprawnieniach może doprowadzić do wycieku danych poprzez klasyczne pulpity nawigacyjne, przekierowując ofiarę na zewnętrzną stronę za pomocą URL-a względnego protokołu w linku drill-down.

CVE-2026-20255
Średnie

W wersjach Splunk Enterprise poniżej 10.2.4, 10.0.7, 9.4.12 i 9.3.13 oraz Splunk Cloud Platform poniżej 10.3.2512.13, 10.2.2510.15, 10.1.2507.23 i 9.3.2411.132, użytkownik o niskich uprawnieniach może stworzyć złośliwy klasyczny pulpit nawigacyjny, który wykrada wrażliwe dane do zewnętrznego serwera.

CVE-2026-20254
Średnie

W wersjach Splunk Enterprise poniżej 10.2.4, 10.0.7, 9.4.12 i 9.3.13 oraz Splunk Cloud Platform poniżej 10.3.2512.13, 10.2.2510.15, 10.1.2507.23 i 9.3.2411.132, użytkownik o niskich uprawnieniach może stworzyć złośliwy pulpit nawigacyjny, który wykrada wrażliwe dane do zewnętrznego serwera, gdy wyższy uprawniony użytkownik go wyświetli. Wykorzystuje to lukę w walidacji atrybutów stylu inline przez mechanizm Trusted Domains.

CVE-2026-11596
Średnie

W wersjach ScreenConnect™ przed 26.2, walidacja danych wejściowych w funkcji tworzenia Host Pass mogła pozwolić uwierzytelnionemu użytkownikowi z uprawnieniami do tworzenia Host Pass na określenie czasu wygaśnięcia tokenu poza zamierzonym maksymalnym limitem.

CVE-2026-46616
Średnie

Umbraco to system zarządzania treścią oparty na ASP.NET. W wersjach przed 13.14.0 i 17.4.0 niektóre kontrolery Surface w CMS nie walidują URL-i przekierowań, co naraża szablony Razor, które korzystają z parametrów zapytania kontrolowanych przez użytkownika, na ataki związane z złośliwym przekierowaniem.

CVE-2026-46609
Średnie

Umbraco to system zarządzania treścią oparty na ASP.NET. Użytkownicy z autoryzacją mogą wstrzykiwać HTML do pola wejściowego, co skutkuje jego renderowaniem w oknie dialogowym potwierdzenia bez odpowiedniego kodowania wyjścia.

CVE-2026-53698
Średnie

Silverpeas w wersjach do 6.4.6 niewłaściwie obsługuje funkcję 'Przestrzeń osobista', gdy nie jest ustawiony identyfikator komponentu (componentId).

CVE-2026-53693
Średnie

W MISP BSimVis występuje podatność na przechowywane ataki typu cross-site scripting (XSS) w kodzie renderowania tagów. Wiele ścieżek renderowania po stronie klienta interpoluje nazwy tagów, nazwy kolekcji, identyfikatory encji, nazwy klastrów i metadane tagów bez odpowiedniego kontekstu, co umożliwia atakującym wstrzykiwanie złośliwego kodu.

CVE-2026-49760
Średnie

Podatność typu przepełnienie bufora na stosie w Erlang OTP (erl_interface) pozwala na przepełnienie bufora stosu. Problem występuje w funkcji ei_s_print_term, która używa wewnętrznego bufora stosu o długości 2000 znaków do formatowania terminów.

CVE-2026-48860
Średnie

Podatność polegająca na poleganiu na adresie IP w celu uwierzytelnienia w module inet_tls_dist Erlang/OTP umożliwia nieautoryzowane ominięcie listy dozwolonych adresów LAN dla dystrybucji przez TLS. Funkcja inet_tls_dist:check_ip/1 błędnie używa inet:sockname/1, co prowadzi do zawsze pozytywnego porównania maski podsieci.

CVE-2026-48859
Średnie

Podatność typu Observable Timing Discrepancy w Erlang/OTP ssh umożliwia nieautoryzowaną enumerację nazw użytkowników zdalnie poprzez analizę różnic czasowych w uwierzytelnianiu hasłem. Różnica w czasie odpowiedzi dla poprawnych i niepoprawnych nazw użytkowników pozwala atakującemu na odróżnienie ich w pojedynczej próbie uwierzytelnienia.

CVE-2026-48858
Średnie

Podatność typu Server-Side Request Forgery (SSRF) w module ftp_internal Erlang/OTP umożliwia ataki FTP bounce oraz SSRF poprzez niezweryfikowany adres IP w odpowiedzi PASV. Handler PASV nie waliduje adresu IP, co pozwala złośliwemu serwerowi FTP na przekierowanie połączenia danych klienta do dowolnego wewnętrznego hosta i portu.

CVE-2026-48856
Średnie

Podatność na ujawnienie wrażliwych danych w module httpc_response Erlang OTP umożliwia pobieranie osadzonych wrażliwych danych. Klient httpc przekazuje nagłówki Authorization i Proxy-Authorization do celów przekierowania bez sprawdzania, czy przekierowanie przekracza granice pochodzenia.

CVE-2026-48855
Średnie

Podatność w module ssh_sftpd Erlang OTP umożliwia ujawnienie wrażliwych informacji poprzez odkrywanie plików. Klient SFTP może stworzyć dowiązanie symboliczne, które ujawnia absolutną ścieżkę do katalogu głównego SFTP.

CVE-2026-48096
Średnie

OpenFGA, silnik autoryzacji, przed wersją 1.16.0, miał problem z pamięcią podręczną iteratorów, gdzie dwa różne żądania sprawdzające mogły generować ten sam klucz pamięci podręcznej. To prowadziło do ponownego użycia wcześniejszego wyniku z pamięci podręcznej dla kolejnego żądania.

CVE-2026-45566
Średnie

Roxy-WI to interfejs webowy do zarządzania serwerami Haproxy, Nginx, Apache i Keepalived. W wersjach 8.2.6.4 i wcześniejszych, proces logowania nieprawidłowo obsługuje adresy URL, co pozwala na wykorzystanie ataku typu open redirect.

CVE-2026-7516
Średnie

Zidentyfikowano podatność w aplikacji Android firmy Lenovo, dystrybuowanej wyłącznie na tabletach na rynku chińskim, która może pozwolić stronie internetowej odwiedzanej przez wbudowaną przeglądarkę na nadpisanie zawartości schowka systemowego.

CVE-2026-45563
Średnie

Roxy-WI to interfejs webowy do zarządzania serwerami Haproxy, Nginx, Apache i Keepalived. W wersjach 8.2.6.4 i wcześniejszych, parametr ścieżki server_ip w GET /history/<service>/<server_ip> jest wykorzystywany jako identyfikator użytkownika, gdy service == 'user', bez sprawdzenia autoryzacji.

CVE-2026-45561
Średnie

Roxy-WI to interfejs webowy do zarządzania serwerami Haproxy, Nginx, Apache i Keepalived. W wersjach 8.2.6.4 i wcześniejszych, rodzina tras /smon/agent/{version,uptime,status,checks}/<server_ip> przyjmuje komponent ścieżki URL dosłownie, co może prowadzić do nieautoryzowanego dostępu.

PoprzedniaStrona 123 z 540Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS