Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-34592
Wysokie

W Coolify przed wersją 4.0.0-beta.471 brakuje ograniczenia dostępu do serwerów i projektów do bieżącego zespołu. Uwierzytelniony użytkownik może uzyskać dostęp do zasobów innych zespołów, podając bezpośrednio ich identyfikatory.

CVE-2026-10647
Średnie

W sterowniku USB CDC-NCM dla Zephyr RTOS brakuje sprawdzenia wartości zwracanej przez usbd_ep_enqueue(). Gdy enqueue zawiedzie (np. podczas zawieszenia magistrali USB), funkcja blokuje się na semaforze, który nigdy nie zostaje zasygnalizowany, powodując trwałe zakleszczenie wątku TX i zatrzymanie transmisji sieciowej aż do restartu.

CVE-2026-55957
Wysokie

W Apache Tomcat wykryto brak krytycznego kroku uwierzytelniania w JNDIRealm podczas korzystania z GSSAPI. Atakujący może uwierzytelnić się bez podania poprawnego hasła.

CVE-2026-55956
Średnie

Podatność nieprawidłowej autoryzacji w Apache Tomcat powoduje, że ograniczenia bezpieczeństwa dla domyślnego serwletu ignorują skonfigurowane metody HTTP lub ich pominięcie. Problem dotyczy wielu wersji Tomcat od 7.0.0 do 11.0.22.

CVE-2026-55955
Średnie

Podatność w Apache Tomcat umożliwia atak typu replay na komponent EncryptionInterceptor w klastrze. Luka wynika z nieprawidłowego uwierzytelniania, co pozwala atakującemu na ponowne wykorzystanie przechwyconych danych.

CVE-2026-55276
Krytyczne

Podatność w Apache Tomcat powoduje, że specjalne role i puste ograniczenia autoryzacji nie są uwzględniane podczas logowania efektywnego pliku web.xml. Problem dotyczy wersji od 11.0.0-M1 do 11.0.22, od 10.1.0-M1 do 10.1.55, od 9.0.0.M1 do 9.0.118 oraz od 8.5.0 do 8.5.100.

CVE-2026-53434
Krytyczne

W Apache Tomcat wykryto podatność polegającą na braku reakcji na błąd podczas konfigurowania list CRL dla konektora opartego na FFM. Problem dotyczy wersji od 11.0.0-M1 do 11.0.22, od 10.1.0-M7 do 10.1.55 oraz od 9.0.83 do 9.0.118.

CVE-2026-53404
Wysokie

W Apache Tomcat w mechanizmie rewrite valve wykryto podatność polegającą na nieprawidłowej implementacji przepływu sterowania. Powoduje ona, że gdy pierwszy warunek w łańcuchu OR jest spełniony, pomijane są kolejne warunki niebędące częścią OR.

CVE-2026-50229
Średnie

W przykładowej aplikacji do zgadywania liczb w Apache Tomcat wykryto podatność na podstawowy atak XSS (Cross-Site Scripting). Brak odpowiedniej neutralizacji znaczników HTML związanych ze skryptami umożliwia atakującemu wstrzyknięcie złośliwego kodu JavaScript.

CVE-2026-41896
Wysokie

W Coolify przed wersją 4.0.0-beta.474 klucz HMAC dla webhooków GitHub może być pusty (null), co powoduje użycie pustego ciągu znaków jako klucza. Atakujący może obliczyć poprawny podpis i wywołać nieautoryzowane wdrożenia.

CVE-2026-34597
Wysokie

W Coolify przed wersją 4.0.0-beta.470 odkryto krytyczną podatność na zdalne wykonanie kodu (RCE) przez uwierzytelnionego atakującego. Problem polega na bezpośrednim łączeniu parametru install_command z poleceniem powłoki podczas budowania z użyciem Nixpacks, co pozwala na wykonanie dowolnych poleceń na hoście docelowym.

CVE-2026-34594
WysokieEPSS 61%

W Coolify przed wersją 4.0.0-beta.471 wykryto podatność na wstrzykiwanie poleceń w funkcji zarządzania siecią docelową. Uwierzytelniony użytkownik z uprawnieniami do zarządzania siecią może przekazać złośliwy parametr "network", który jest bezpośrednio wykonywany w powłoce, co pozwala na zdalne wykonanie kodu jako root na zarządzanym serwerze.

CVE-2026-13758
Niskie

Podatność w bibliotece CryptX dla Perla przed wersją 0.088_001 powoduje, że porównanie tagów uwierzytelniania AEAD w ścieżce decrypt_done nie jest wykonywane w stałym czasie. Funkcja decrypt_done($tag) używa memNE (memcmp() != 0), co przerywa działanie przy pierwszej różnej bajcie, przez co czas wykonania zależy od liczby pasujących początkowych bajtów.

CVE-2026-57919
Wysokie

Podatność w PBackupVSS.exe w Matrix42 Empirum przed wersją 25.5 oraz 26.x przed 26.2 tworzy nazwany potok z nadmiernie liberalnymi uprawnieniami. Uwierzytelniony atakujący z niskimi uprawnieniami może połączyć się z tym potokiem i wysłać spreparowane komunikaty IPC, co prowadzi do wykonania dowolnych poleceń z uprawnieniami SYSTEM.

CVE-2026-57498
Krytyczne

Coolify przed wersją 4.0.0-beta.474 zawiera podatność polegającą na braku walidacji własności serwera w komponentach Livewire. Komponenty te akceptują parametry server_id i destination_uuid z zapytań URL bez sprawdzania przynależności do zespołu, co umożliwia wdrożenie zasobów na serwerach innych zespołów.

CVE-2026-56018
Wysokie

Podatność w bibliotece JavaScript::Minifier::XS dla Perla przed wersją 0.16 powoduje wyciek pamięci przy każdym wywołaniu funkcji minify(). Funkcja czyszcząca zwalnia tylko struktury NodeSet, ale nie bufory zawartości tokenów, co prowadzi do nieograniczonego wzrostu zużycia pamięci.

CVE-2026-56017
Wysokie

Podatność w bibliotece JavaScript::Minifier::XS dla Perla przed wersją 0.16 powoduje crash przez dereferencję wskaźnika NULL, gdy pierwszym znaczącym tokenem wejścia jest ukośnik. Problem występuje w funkcji JsTokenizeString podczas rozróżniania wyrażenia regularnego od operatora dzielenia.

CVE-2026-54889
Średnie

Podatność XSS w bibliotece mdex dla Elixira pozwala atakującemu na wstrzyknięcie kodu JavaScript poprzez nieprawidłową walidację schematów URL w przetwarzaniu Markdown do Quill Delta. Atakujący może umieścić złośliwy link z schematem javascript: w tekście Markdown, który zostanie bez zmian skopiowany do atrybutu Delta, a następnie wykonany w przeglądarce ofiary po renderowaniu do HTML.

CVE-2026-54888
Średnie

Podatność w bibliotece mdex (oraz mdex_native) umożliwia atak DoS poprzez dostarczenie głęboko zagnieżdżonego dokumentu Markdown. Rekurencyjne funkcje konwertujące nie sprawdzają maksymalnej głębokości, co prowadzi do przepełnienia stosu C i awarii całego węzła BEAM.

CVE-2026-53429
Średnie

W bibliotekach mdex i mdex_native wykryto podatność polegającą na braku zwalniania pamięci po zakończeniu jej użytkowania. Atakujący może wysłać dokument zawierający znaczniki escaped-tag, co powoduje trwały wyciek pamięci w natywnym kodzie renderującym (Rust NIF). Każde renderowanie takiego dokumentu prowadzi do nieograniczonego wzrostu zużycia pamięci, aż do wyczerpania zasobów i awarii procesu BEAM.

PoprzedniaStrona 139 z 4563Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS