Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2025-7006
Średnie

Podatność w Avast Antivirus polega na użyciu pamięci stosu po jej zwolnieniu podczas skanowania źle sformatowanego pliku PE Windows, co może prowadzić do awarii procesu antywirusowego.

CVE-2025-7005
Średnie

W Avast Antivirus występuje podatność na niekontrolowaną rekurencję podczas skanowania źle sformatowanego pliku PE systemu Windows, co może prowadzić do awarii procesu antywirusowego.

CVE-2026-54397
Średnie

Podatność w MISP umożliwia uwierzytelnionemu użytkownikowi z uprawnieniami edycji zdarzeń manipulowanie danymi formularza i przypisanie zdarzenia do grupy udostępniania, do której nie ma uprawnień. Problem występuje w ścieżce edycji zdarzeń, która nie stosuje odpowiednich kontroli autoryzacji.

CVE-2026-54396
Średnie

Występuje podatność na ujawnienie informacji w funkcjonalności edycji AuthKey w MISP. Podczas wystąpienia błędu walidacji w żądaniu edycji AuthKey, lista użytkowników była wypełniana wartością AuthKey.user_id kontrolowaną przez atakującego, co umożliwiało enumerację adresów e-mail użytkowników.

CVE-2026-54395
Średnie

MISP zawiera podatność na refleksyjny atak typu cross-site scripting w widoku indeksu zdarzeń UiBeta. Wartość urlparams jest wstawiana do wewnętrznego handlera JavaScript, co pozwala atakującemu na wykonanie dowolnego kodu JavaScript w przeglądarce ofiary.

CVE-2026-54394
Średnie

MISP zawiera podatność na przejście ścieżki w metodzie OrganisationsController::getOrgLogo. Kod podatny buduje ścieżki do plików logo organizacji, wykorzystując pola kontrolowane przez organizację, co pozwala atakującemu na dostęp do plików spoza zamierzonego katalogu.

CVE-2026-54393
Średnie

W MISP występuje podatność na przechowywane ataki XSS, gdy używany jest motyw Overmind. Użytkownik uwierzytelniony może zapisać dowolną wartość strony głównej, w tym ładunek XSS, co prowadzi do wykonania złośliwego JavaScript w kontekście przeglądarki.

CVE-2026-54362
Średnie

Błąd w warunkach widoczności w narzędziu do tworzenia szablonów zdarzeń MISP pozwolił uwierzytelnionym użytkownikom, którzy nie są administratorami, na przeglądanie galaktyk, które nie powinny być widoczne dla ich organizacji. Użycie wyrażenia porównania PHP zamiast warunku zapytania spowodowało, że galaktyki, w tym te przeznaczone tylko dla organizacji, mogły być ujawnione.

CVE-2026-53606
Średnie

ApostropheCMS, system zarządzania treścią oparty na Node.js, zawiera podatność w sanitize-html, która pozwala na wykorzystanie niebezpiecznych schematów URI, takich jak 'javascript:', w atrybutach HTML. Wersje przed 2.17.5 nie blokują tych schematów, co prowadzi do możliwości ataków XSS.

CVE-2026-47264
Średnie

Discourse to otwartoźródłowa platforma dyskusyjna, w której występuje podatność w wersjach od 2026.1.0 do przed 2026.1.4, od 2026.3.0 do przed 2026.3.1 oraz od 2026.4.0 do przed 2026.4.1. Funkcja DetailedTagSerializer#tag_group_names zwracała wszystkie grupy tagów, do których należał tag, bez uwzględnienia widoczności użytkownika, co pozwalało anonimowym i nieuprzywilejowanym użytkownikom na dostęp do nazw grup tagów ograniczonych do określonych grup użytkowników.

CVE-2026-47263
Średnie

Discourse to otwartoźródłowa platforma dyskusyjna, w której wystąpiła podatność w wersjach od 2026.1.0 do przed 2026.1.4, od 2026.3.0 do przed 2026.3.1 oraz od 2026.4.0 do przed 2026.4.1. Wywołanie MessageBus.publish dla /web_hook_events/<id> w Jobs::RedeliverWebHookEvents nie przekazywało group_ids, co umożliwiało dostęp do kanału każdemu uwierzytelnionemu użytkownikowi (lub anonimowemu, gdy logowanie było wyłączone).

CVE-2026-45775
Średnie

W Discourse, platformie do dyskusji, występuje podatność na przejście ścieżki w obsłudze kopii zapasowych, która pozwala uwierzytelnionemu administratorowi na jednym z serwisów w wieloserwisowej instalacji na dostęp do plików kopii zapasowych innego serwisu. Problem dotyczy wersji od 2026.1.0 do przed 2026.1.4, od 2026.3.0 do przed 2026.3.1 oraz od 2026.4.0 do przed 2026.4.1.

CVE-2026-45085
Średnie

Discourse to platforma dyskusyjna typu open-source, która miała cztery problemy z autoryzacją i ujawnieniem informacji w wtyczce czatu. Użytkownicy z dostępem tylko do kategorii do odczytu mogli tworzyć wątki czatu, a usunięte przez siebie wiadomości mogły być przywracane przez autorów po odebraniu dostępu do kanału.

CVE-2026-45014
Średnie

ApostropheCMS to otwartoźródłowy system zarządzania treścią oparty na Node.js. Wersje do 4.29.0 włącznie są podatne na przechowywane ataki typu cross-site scripting z powodu niesanitizowanej nazwy wyświetlanej użytkownika w podpowiedzi wersji roboczej.

CVE-2026-44785
Średnie

W platformie dyskusyjnej Discourse występuje luka, która pozwala uwierzytelnionym użytkownikom na dostęp do ukrytych treści rodzica postu poprzez użycie funkcji AI 'explain' na odpowiedzi do tego postu. Problem ten dotyczy wersji od 2026.1.0 do przed 2026.1.4, od 2026.3.0 do przed 2026.3.1 oraz od 2026.4.0 do przed 2026.4.1.

CVE-2026-44784
Średnie

Discourse to otwartoźródłowa platforma dyskusyjna, w której właściciele grup, nie będący administratorami ani moderatorami, mogą przeglądać dane uwierzytelniające SMTP w postaci niezaszyfrowanej. Dotyczy to wersji od 2026.1.0 do przed 2026.1.4, od 2026.3.0 do przed 2026.3.1 oraz od 2026.4.0 do przed 2026.4.1.

CVE-2026-44783
Średnie

W platformie dyskusyjnej Discourse występuje luka, która pozwala uwierzytelnionym użytkownikom spoza skonfigurowanych grup na publikowanie w kanałach szeptów przeznaczonych tylko dla personelu. Problem dotyczy wersji od 2026.1.0 do przed 2026.1.4, od 2026.3.0 do przed 2026.3.1 oraz od 2026.4.0 do przed 2026.4.1.

CVE-2026-44782
Średnie

Discourse to otwarta platforma dyskusyjna, w której występuje błąd w serializacji atrybutu :name w GroupPostSerializer. Błąd polega na tym, że niewłaściwie nazwany predykat include_user_long_name? nie był wywoływany, co skutkowało zawsze serializowaniem object.user.name, niezależnie od ustawienia SiteSetting.enable_names.

CVE-2026-44780
Średnie

Discourse to otwartoźródłowa platforma dyskusyjna, w której występuje podatność w wersjach od 2026.1.0 do przed 2026.1.4, od 2026.3.0 do przed 2026.3.1 oraz od 2026.4.0 do przed 2026.4.1. Serializer ReviewableQueuedPostSerializer bezwarunkowo dołączał payload["raw_email"] dla postów przychodzących przez e-mail, co umożliwiało członkom grup moderacyjnych dostęp do pełnego źródła e-maila bez odpowiednich uprawnień.

CVE-2026-44779
Średnie

Discourse to otwartoźródłowa platforma dyskusyjna, która w wersjach od 2026.1.0 do przed 2026.1.4, od 2026.3.0 do przed 2026.3.1 oraz od 2026.4.0 do przed 2026.4.1 ujawnia logi audytowe tłumaczeń whisper przez punkty końcowe debugowania botów. Problem został naprawiony w wersjach 2026.1.4, 2026.3.1, 2026.4.1 oraz 2026.5.0-latest.1.

PoprzedniaStrona 127 z 559Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS