Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-34361
Krytyczne

HAPI FHIR to pełna implementacja standardu HL7 FHIR dla interoperacyjności w opiece zdrowotnej w Javie. Przed wersją 6.9.4, usługa walidatora FHIR HTTP udostępniała nieautoryzowany punkt końcowy '/loadIG', który umożliwiał wysyłanie żądań HTTP do adresów URL kontrolowanych przez atakującego.

CVE-2026-34243
Krytyczne

Wersje 0.3.1 i wcześniejsze narzędzia wenxian, służącego do generowania plików BIBTEX, mają lukę, w której workflow GitHub Actions wykorzystuje niezaufane dane wejściowe z issue_comment.body bezpośrednio w poleceniu powłoki. To może prowadzić do wstrzyknięcia poleceń i wykonania dowolnego kodu na runnerze.

CVE-2026-34235
Krytyczne

W bibliotece PJSIP przed wersją 2.17 występuje podatność na odczyt poza przydzielonym obszarem pamięci w unpacketizerze RTP VP9, która pojawia się podczas analizy spreparowanych danych Scalability Structure (SS). Niewystarczająca kontrola długości opisu ładunku może prowadzić do odczytów poza przydzielonym buforem ładunku RTP.

CVE-2026-34221
Krytyczne

MikroORM, TypeScript ORM dla Node.js, zawierał podatność na zanieczyszczenie prototypu w funkcji Utils.merge przed wersjami 6.6.10 i 7.0.6. Funkcja ta nie blokowała specjalnych kluczy, co pozwalało na modyfikację prototypu obiektu JavaScript przez dane kontrolowane przez atakującego.

CVE-2026-34220
Krytyczne

MikroORM to ORM w TypeScript dla Node.js, oparty na wzorcach Data Mapper, Unit of Work i Identity Map. Przed wersjami 6.6.10 i 7.0.6 występowała podatność na wstrzyknięcie SQL, gdy specjalnie przygotowane obiekty były interpretowane jako fragmenty zapytań SQL.

CVE-2026-30281
Krytyczne

Podatność CVE-2026-30281 w MaruNuri LLC v2.0.23 pozwala atakującym na nadpisywanie krytycznych plików wewnętrznych poprzez proces importu plików, co może prowadzić do wykonania dowolnego kodu lub ujawnienia informacji.

CVE-2026-30276
Krytyczne

W DeftPDF Document Translator w wersji 54.0 występuje podatność na nadpisanie dowolnych plików, która pozwala atakującym na nadpisanie krytycznych plików wewnętrznych podczas procesu importu plików. Może to prowadzić do wykonania dowolnego kodu lub ujawnienia informacji.

CVE-2026-34532
Krytyczne

Parse Server, otwarte źródło backendu, przed wersjami 8.6.67 i 9.7.0-alpha.11, pozwala atakującym na obejście kontroli dostępu do walidatorów funkcji chmurowych poprzez dodanie 'prototype.constructor' do nazwy funkcji w URL. To prowadzi do pominięcia egzekwowania kontroli dostępu dla funkcji chmurowych, które powinny być chronione przez walidatory.

CVE-2026-34162
Krytyczne

FastGPT to platforma do budowania agentów AI. W wersjach przed 4.14.9.5, punkt końcowy testowania narzędzi HTTP (/api/core/app/httpTools/runTool) był dostępny bez autoryzacji, co pozwalało na pełne wykorzystanie proxy HTTP przez użytkowników.

CVE-2026-33579
Krytyczne

OpenClaw przed wersją 2026.3.28 zawiera podatność na eskalację uprawnień w ścieżce polecenia /pair approve, która nie przekazuje zakresów wywołującego do głównej weryfikacji zatwierdzenia. Osoba z uprawnieniami parowania, ale bez uprawnień administratora, może zatwierdzić oczekujące żądania urządzeń, które wymagają szerszych zakresów, w tym dostępu administratora.

CVE-2026-30314
Krytyczne

Moduł automatycznej akceptacji poleceń w Ridvay Code zawiera krytyczną podatność na wstrzykiwanie poleceń systemowych, co czyni mechanizm białej listy całkowicie nieskutecznym. Wykorzystuje on słabe wyrażenia regularne do analizy struktur poleceń, co pozwala atakującemu na wstrzyknięcie złośliwego kodu.

CVE-2026-30312
Krytyczne

Moduł automatycznej akceptacji poleceń DSAI-Cline zawiera krytyczną podatność na wstrzykiwanie poleceń systemowych, która całkowicie unieważnia mechanizm bezpieczeństwa oparty na białej liście. System nieprawidłowo przetwarza znaki nowej linii, co pozwala atakującemu na wstrzyknięcie złośliwego kodu w ramach dozwolonego polecenia.

CVE-2026-30311
Krytyczne

Moduł automatycznej akceptacji poleceń Ridvay Code zawiera krytyczną podatność na wstrzykiwanie poleceń systemowych, co czyni jego mechanizm białej listy całkowicie nieskutecznym. System opiera się na kruchych wyrażeniach regularnych do analizy struktur poleceń, co prowadzi do błędnej identyfikacji niebezpiecznych operacji.

CVE-2026-34156
Krytyczne

NocoBase to platforma no-code/low-code zasilana sztuczną inteligencją, która przed wersją 2.0.28 miała lukę w swoim węźle skryptów roboczych. Umożliwiała ona wykonanie dostarczonego przez użytkownika kodu JavaScript w sandboxie Node.js, co mogło prowadzić do zdalnego wykonania kodu jako root.

CVE-2026-30310
Krytyczne

Podatność CVE-2026-30310 dotyczy systemu automatycznego wykonywania poleceń terminalowych w aplikacji Sixth, który oferuje dwie opcje: wykonywanie bezpiecznych poleceń oraz wszystkich poleceń. Atakujący może wykorzystać atak typu prompt injection, aby oszukać model i sklasyfikować złośliwe polecenie jako 'bezpieczne', co pozwala na jego wykonanie bez zgody użytkownika.

CVE-2026-32917
Krytyczne

OpenClaw przed wersją 2026.3.13 zawiera podatność na zdalne wstrzykiwanie poleceń w procesie przygotowywania załączników iMessage, co pozwala atakującym na wykonywanie dowolnych poleceń na skonfigurowanych zdalnych hostach. Problem wynika z braku walidacji nieoczyszczonych ścieżek załączników zdalnych zawierających metaznaki powłoki.

CVE-2026-32916
Krytyczne

Wersje OpenClaw 2026.3.7 przed 2026.3.11 zawierają podatność na obejście autoryzacji, która pozwala na wykonywanie metod bramy przez klienta syntetycznego z szerokimi uprawnieniami administracyjnymi. Zdalne, nieautoryzowane żądania do tras należących do wtyczek mogą wywoływać metody runtime.subagent, co umożliwia wykonywanie uprzywilejowanych działań bramy, w tym usuwanie sesji i uruchamianie agentów.

CVE-2025-15618
Krytyczne

Wersje Business::OnlinePayment::StoredTransaction do 0.01 dla Perla wykorzystują niebezpieczny klucz tajny. Klucz ten jest generowany przy użyciu hasha MD5 z pojedynczego wywołania wbudowanej funkcji rand, co jest niewłaściwe do zastosowań kryptograficznych.

CVE-2026-4317
Krytyczne

W aplikacji webowej Umami Software występuje podatność na wstrzykiwanie SQL (SQLi) z powodu niewłaściwie sanitizowanego parametru. Umożliwia to uwierzytelnionemu atakującemu wykonanie dowolnych poleceń SQL w bazie danych poprzez manipulację wartością parametru 'timezone'.

CVE-2026-34060
Krytyczne

Ruby LSP to implementacja protokołu serwera językowego dla Ruby. Przed wersjami Shopify.ruby-lsp 0.10.2 i ruby-lsp 0.26.9, ustawienie rubyLsp.branch w VS Code było interpolowane bez sanitizacji do generowanego Gemfile, co umożliwiało wykonanie dowolnego kodu Ruby, gdy użytkownik otworzył projekt zawierający złośliwy plik .vscode/settings.json.

PoprzedniaStrona 125 z 562Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS