Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-53982
Średnie

Cap-go Console w wersjach poniżej 12.28.2 zawiera podatność typu denial-of-service w procesie usuwania konta, która pozwala atakującemu zablokować funkcje uwierzytelniania i rejestracji. Problem polega na błędnym powiązaniu stanu usunięcia z identyfikatorem urządzenia, co prowadzi do przekierowania na stronę z informacją o zablokowanym koncie na około 30 dni.

CVE-2026-47224
Średnie

W NanaZip, będącym pochodną 7-Zip, występuje podatność na przepełnienie bufora w pamięci w parserze metadanych fizycznych woluminów LVM2. Problem ten występuje w wersjach od 3.0.1000.0 do przed wersją 6.0.1698.0, gdy otwierany jest spreparowany obraz dysku LVM.

CVE-2026-47222
Średnie

W NanaZip, od wersji 3.0.1000.0 do przed wersją 6.0.1698.0, występuje podatność na odczyt poza granicami stosu w parserze obrazu vbmeta Android Verified Boot (AVB). Atakujący może wykorzystać tę lukę do spowodowania awarii aplikacji przy otwieraniu spreparowanego pliku .avb lub .img.

CVE-2026-3433
Średnie

Wersje Mattermost 11.6.x do 11.6.1, 11.5.x do 11.5.4 oraz 10.11.x do 10.11.15 i 10.11.x do 10.11.16 nie ograniczają transmisji zdarzeń websocket 'role_updated' do członków dotkniętego zespołu lub kanału. To pozwala uwierzytelnionemu atakującemu z dostępem na poziomie gościa obserwować powiadomienia o zmianach w schemacie uprawnień dla prywatnych zespołów, do których nie należy.

CVE-2026-9641
Średnie

Wersje Crypt::PBKDF2 przed 0.261630 dla Perla mają słaby domyślny algorytm oraz liczbę iteracji. Domyślnym algorytmem jest HMAC-SHA1, który powinien być używany tylko w systemach dziedziczonych.

CVE-2026-5792
Średnie

Podatność CVE-2026-5792 dotyczy Hedef Media Promotion Interactive Media Marketing Inc. i pozwala na ominięcie uwierzytelnienia poprzez fałszowanie, co umożliwia ataki typu Brute Force.

CVE-2026-53568
Średnie

Frappe to framework aplikacji webowych. Przed wersjami 15.107.2 i 16.17.4 występowała podatność typu XSS, która była przechowywana w widoku raportów/list. Problem został naprawiony w wersjach 15.107.2 i 16.17.4.

CVE-2026-50560
Średnie

Netty, framework do aplikacji sieciowych, przed wersjami 4.1.135.Final i 4.2.15.Final miał problem z obsługą maksymalnego rozmiaru nagłówków HTTP/2, co umożliwiało atak podobny do ataku HTTP/2 Rapid Reset. W wyniku tego, podczas przetwarzania żądania mogło dojść do wyjątków przy zapisie nagłówków odpowiedzi.

CVE-2026-50089
Średnie

Brama Aqara IAM/SSO (gw-builder.aqara.com) zawiera podatność na otwarte przekierowanie (CWE-601), umożliwiającą atakującemu przekierowanie użytkownika na zewnętrzną, złośliwą stronę. Szacowany wskaźnik CVSS wynosi 6.1 (średni).

CVE-2026-50082
Średnie

Portal deweloperski Aqara Cloud (developer.aqara.com) wydawał token deweloperski na dowolny adres e-mail podany przez atakującego. Jest to brak uwierzytelnienia dla krytycznej funkcji (CWE-306) o szacowanym CVSS 6.5 (Medium). W połączeniu z innymi podatnościami (CVE-2026-50083, CVE-2026-50084, CVE-2026-50085) pozwala to nieuwierzytelnionemu atakującemu na pełne przejęcie podatnych urządzeń.

CVE-2026-50026
Średnie

Frappe to framework aplikacji webowych, który przed wersjami 15.107.0 i 16.17.0 miał lukę w zabezpieczeniach związaną z brakiem sprawdzania uprawnień w niektórych punktach końcowych, co umożliwiało nieautoryzowany dostęp do zasobów.

CVE-2026-50020
Średnie

W wersjach przed 4.1.135.Final i 4.2.15.Final, `HttpObjectDecoder` w frameworku Netty pomijał bajty kontrolne oraz białe znaki przed odczytem pierwszej linii żądania. To może prowadzić do nieprawidłowego rozpoznawania granic żądania w złożonych transportach, co stwarza ryzyko ataków.

CVE-2026-50009
Średnie

Netty przed wersją 4.2.15.Final ujawnia token resetu stateless w ścieżce sieciowej, co może być wykorzystane przez atakującego do przeprowadzenia ataku typu Denial of Service.

CVE-2026-48043
Średnie

W bibliotece Netty w komponencie netty-codec-http2 przed wersjami 4.1.135.Final i 4.2.15.Final wykryto podatność polegającą na wycieku zasobów w klasie `DelegatingDecompressorFrameListener`. Zdalny atakujący może wysłać specjalnie spreparowane ramki HTTP/2, które powodują rzucenie wyjątku przez kontroler przepływu, co prowadzi do nienależytego zwolnienia buforów `ByteBuf` i w konsekwencji do wyczerpania pamięci JVM.

CVE-2026-47190
Średnie

IPAM, menedżer adresów IP dla Cluster API Provider Metal3, przed wersjami 1.11.7, 1.12.4 i 1.13.0, przyznawał pełne uprawnienia CRUD dla core/v1 Secrets. W normalnych warunkach controller nie uzyskuje dostępu do Secrets, jednak w przypadku kompromitacji podu kontrolera, atakujący mógłby wykorzystać te nadmierne uprawnienia do odczytu, modyfikacji lub usunięcia Secrets.

CVE-2026-47182
Średnie

Frappe to framework aplikacji webowych. Przed wersją 16.17.4, każdy uwierzytelniony użytkownik mógł uzyskać dostęp do prywatnych plików, zgadując ścieżkę do pliku. Problem został naprawiony w wersji 16.17.4.

CVE-2026-46690
Średnie

Rozszerzenie unbounded_spsc w wersjach 0.2.0 i wcześniejszych zawiera błąd, który prowadzi do odczytu poza granicami pamięci oraz fałszywego zwolnienia zasobów w wyniku wyścigu między nadawcą a odbiorcą.

CVE-2026-44976
Średnie

Frappe to pełnostackowy framework aplikacji webowych. Przed wersją 16.17.4 każdy użytkownik mógł modyfikować dowolne pole w każdym rekordzie kroku onboardingu. Problem ten został naprawiony w wersji 16.17.4.

CVE-2026-44975
Średnie

Frappe to framework aplikacji webowych. Przed wersjami 15.107.2 i 16.17.4, każdy uwierzytelniony użytkownik mógł zresetować proces wprowadzania dla wszystkich użytkowników w systemie.

CVE-2026-44967
Średnie

OpenTelemetry-cpp przed wersją 1.27.0 ma podatność, w której eksportery OTLP HTTP (śladów/metryk/logów) odczytują pełną odpowiedź HTTP do wektora bajtów w pamięci bez ograniczenia rozmiaru. Może to prowadzić do wyczerpania pamięci, gdy skonfigurowany punkt końcowy kolektora jest kontrolowany przez atakującego.

PoprzedniaStrona 133 z 562Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS