Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-58446
Średnie

Podatność w Presenton przed wersją 0.8.8-beta umożliwia nieuwierzytelnionemu atakującemu zdalne wywoływanie narzędzi MCP, takich jak generate_presentation, poprzez dostęp do ścieżki /mcp bez wymaganego uwierzytelnienia. Serwer MCP automatycznie generuje ważny token sesji dla skonfigurowanego użytkownika, co pozwala na wykonywanie uwierzytelnionych akcji aplikacji.

CVE-2026-57585
Wysokie

Podatność w bibliotece MessagePack dla Pythona umożliwia odczyt poza zakresem pamięci i awarię procesu przy ponownym użyciu obiektu Unpacker po wystąpieniu błędu. Problem został naprawiony w wersji 1.2.1.

CVE-2026-57204
Średnie

Biblioteka pypdf przed wersją 6.13.3 zawiera podatność na atak DoS. Specjalnie spreparowany plik PDF może spowodować nadmierne zużycie pamięci, ponieważ stała MAX_DECLARED_STREAM_LENGTH jest czasami ignorowana podczas parsowania strumienia treści bez wartości /Length.

CVE-2026-52868
Wysokie

Podatność umożliwia nieuwierzytelnionemu atakującemu odczyt rekordów listy zadań z katalogu poza przeznaczonym obszarem przechowywania dla danego AE. W środowisku wielodziałowym może to naruszyć separację danych między oddziałami lub klinikami.

CVE-2026-52196
Wysokie

W routerze UTT nv518G w wersji oprogramowania nv518GV3v3.2.7-210919-161313 wykryto podatność na przepełnienie bufora. Zdalny atakujący może wykorzystać komponent gohead/sub_416f28, aby spowodować odmowę usługi (DoS).

CVE-2026-50254
Wysokie

Nieuwierzytelniony zdalny atakujący może wielokrotnie wysyłać pojedyncze spreparowane żądanie połączenia, powodując wyciek pamięci. W przypadku storescp w domyślnym trybie jednoprocesowym pamięć szybko rośnie, a usługa zostaje ostatecznie zabita, po czym przestaje akceptować połączenia do czasu ręcznego restartu przez operatora.

CVE-2026-50003
Krytyczne

Złośliwy lub skompromitowany serwer może sprawić, że klient DCMTK korzystający z trybu przechowywania C-GET z zachowaniem bitów zapisze pliki poza wybranym katalogiem wyjściowym, używając zarówno względnych (../) jak i bezwzględnych ścieżek.

CVE-2026-37106
Krytyczne

W DokuWiki w wersji 2025-05-14b 'Librarian' 56.2 istnieje możliwość zdalnego utworzenia konta przez funkcję rejestracji w pliku inc/auth.php. Producent kwestionuje to jako podatność, ponieważ jest to zamierzone działanie przy włączonej samorejestracji (funkcja nie domyślna).

CVE-2026-35505
Wysokie

Nieuwierzytelniony zdalny atakujący może wielokrotnie wysyłać spreparowane żądania połączenia, powodując wyciek pamięci. W środowiskach jednoprocesowych pamięć rośnie aż do zabicia usługi, a port przestaje odpowiadać do czasu restartu.

CVE-2026-11541
Wysokie

IBM WebSphere Application Server 9.0, 8.5 oraz Liberty 17.0.0.3 do 26.0.0.6 są podatne na atak polegający na przemycaniu żądań HTTP. Luka umożliwia atakującemu manipulację nagłówkami HTTP w celu ominięcia zabezpieczeń.

CVE-2026-10585
Średnie

W GitHub Enterprise Server wykryto podatność na trwały atak XSS, umożliwiającą uwierzytelnionemu atakującemu wykonanie dowolnego kodu JavaScript w przeglądarce innego użytkownika poprzez wstrzyknięcie złośliwego ładunku w tytuł dyskusji w kategorii Q&A. Komponent AnsweredQuestionStructuredDataComponent nie odpowiednio kodował tytułów dyskusji przed umieszczeniem ich w bloku <script type="application/ld+json">, co pozwalało na wyrwanie się z kontekstu skryptu. Atak został eskalowany do pełnego XSS dzięki wykorzystaniu wsparcia JSONP w REST API do obejścia Content Security Policy.

CVE-2026-9132
Średnie

W GitHub Enterprise Server wykryto brak autoryzacji w punkcie końcowym podsumowania różnic opisu pull requesta Copilota. Uwierzytelniony użytkownik mógł odczytać kod źródłowy z prywatnych repozytoriów, do których nie miał dostępu, poprzez podanie zakresu porównania między repozytoriami. Luka dotyczy wszystkich wersji przed 3.21 i została naprawiona w wersjach 3.17.17, 3.18.11, 3.19.8 oraz 3.20.4.

CVE-2026-9106
Średnie

Podatność w GitHub Enterprise Server umożliwiała aplikacji OAuth uzyskanie nieautoryzowanego dostępu do zarządzania runnerami organizacji. Problem wynikał z braku wyświetlania zakresu manage_runners:org na ekranie zgody autoryzacji, co mogło zostać wykorzystane przez atakującego do skłonienia użytkownika do autoryzacji złośliwej aplikacji.

CVE-2026-44628
Wysokie

Podatność umożliwia nieuwierzytelnionemu atakującemu spowodowanie awarii serwera listy zadań poprzez wysłanie pojedynczego spreparowanego zapytania. Warunkiem jest istnienie poprawnego tytułu AE wywołanego, katalogu przechowywania, oczekiwanego pliku blokady oraz co najmniej jednego pasującego rekordu listy zadań.

CVE-2026-13207
Wysokie

FUXA w wersjach 1.3.1 i wcześniejszych zawiera podatność na ominięcie uwierzytelniania poprzez normalizację ścieżek z segmentami kropkowymi w REST API. Router API nie normalizuje sekwencji segmentów kropek przed zastosowaniem middleware uwierzytelniającego, co pozwala nieuwierzytelnionym żądaniom na dostęp do chronionych punktów końcowych poprzez poprzedzenie ścieżek segmentami kropkowymi, takimi jak /api/./users, /api/./roles i /api/project/../users. Żądania te omijają kontrole uwierzytelniania i zwracają wrażliwe dane użytkowników i ról bez poświadczeń.

CVE-2026-11594
Wysokie

IBM WebSphere Application Server 9.0 i 8.5 zawiera podatność na atak typu cross-site scripting (XSS) w konsoli administracyjnej. Umożliwia ona atakującemu wstrzyknięcie złośliwego skryptu do interfejsu zarządzania serwerem.

CVE-2026-10562
Średnie

W urządzeniu Archer AX20 V2 wykryto podatność na nieuwierzytelnione przekierowanie URL spowodowane nieprawidłową walidacją danych wejściowych URL w interfejsie webowym. Nieuwierzytelniony atakujący może tworzyć adresy URL zawierające zakodowane sekwencje przejścia ścieżki, co po przetworzeniu przez wbudowany serwer WWW może skutkować odpowiedziami HTTP 3xx przekierowującymi do zewnętrznych domen kontrolowanych przez atakującego.

CVE-2025-36359
Wysokie

Podatność w IBM DevOps Automation 1.0.1 i IBM DevOps Loop 1.0.2 polega na braku unieważniania identyfikatorów sesji po ich wygaśnięciu. Umożliwia to uwierzytelnionemu użytkownikowi podszywanie się pod innego użytkownika systemu.

CVE-2025-36336
Średnie

IBM watsonx.data intelligence w wersjach 5.2.0, 5.2.1, 5.2.2 i 5.3.0 przesyła dane w postaci niezaszyfrowanego tekstu, co umożliwia atakującemu przechwycenie wrażliwych informacji za pomocą ataku typu man-in-the-middle.

CVE-2025-36333
Średnie

Podatność w IBM watsonx.data intelligence w wersjach 5.2.0, 5.2.1, 5.2.2 i 5.3.0 umożliwia uwierzytelnionemu użytkownikowi wykonanie nieautoryzowanych działań z powodu nieprawidłowego egzekwowania przepływu pracy.

PoprzedniaStrona 129 z 4563Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS