Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-10801
Niskie

Wykryto podatność w modelscope ms-swift do wersji 4.2.0, dotycząca funkcji Template._save_pil_image w pliku swift/template/base.py. Manipulacja prowadzi do użycia słabego hasha.

CVE-2026-10800
Niskie

Zidentyfikowano słabość w PaddlePaddle FastDeploy do wersji 2.4.1, dotyczącą funkcji hash_features w pliku fastdeploy/multimodal/hasher.py komponentu MultimodalHasher. Manipulacja może prowadzić do użycia słabego hasha.

CVE-2026-10783
Niskie

W gradio-app w wersji 6.14.0 odkryto lukę bezpieczeństwa w funkcji save_audio_to_cache komponentu Audio Cache Key Handler. Manipulacja tą funkcją prowadzi do użycia słabego hasha.

CVE-2026-10775
Niskie

Wykryto podatność w sgl-project SGLang do wersji 0.5.11, dotycząca funkcji data_hash w komponencie Cache Handler. Manipulacja ta prowadzi do odmowy usługi, a atak jest ograniczony do lokalnego wykonania.

CVE-2026-10766
Niskie

Wykryto podatność w mlrun do wersji 1.12.0-rc3, która dotyczy funkcji mlrun.utils.helpers.calculate_dataframe_hash w pliku mlrun/utils/helpers.py. Manipulacja prowadzi do użycia słabego hasha.

CVE-2026-8404
Niskie

W Django w wersjach 5.2 przed 5.2.15 oraz 6.0 przed 6.0.6 występuje problem z `django.middleware.cache.UpdateCacheMiddleware`, który nie porównuje dyrektyw `Cache-Control` w sposób niewrażliwy na wielkość liter. To pozwala zdalnym atakującym na odczyt odpowiedzi, które zostały błędnie zbuforowane z powodu użycia wielkich lub mieszanych liter w dyrektywach `Cache-Control`.

CVE-2026-7666
Niskie

W Django 6.0 przed wersją 6.0.6 oraz 5.2 przed wersją 5.2.15 występuje problem z `django.core.mail.backends.smtp.EmailBackend`, który nie zapobiega ponownemu użyciu częściowo zainicjowanej koneksji po nieudanym handshake `STARTTLS` przy ustawieniu `fail_silently=True. To umożliwia atakującym na ścieżce sieciowej odczytanie treści e-maili poprzez przechwytywanie w czystym tekście.

CVE-2026-6873
Niskie

W Django w wersjach 6.0 przed 6.0.6 oraz 5.2 przed 5.2.15 zidentyfikowano problem związany z metodą `django.http.HttpRequest.get_signed_cookie`, która wykorzystuje nieiniektywną metodę pochodzenia soli. To pozwala zdalnemu atakującemu na użycie ciasteczka w kontekście różnym od tego, w którym zostało podpisane, poprzez różne pary `(nazwa, sól)`, które generują tę samą konkatenację.

CVE-2026-48587
Niskie

W Django w wersjach 5.2 przed 5.2.15 oraz 6.0 przed 6.0.6 występuje problem związany z funkcją `django.utils.cache.has_vary_header()`, która nie usuwa białych znaków z wartości nagłówka `Vary` przed porównaniem. To umożliwia zdalnym atakującym odczytanie pamięci podręcznej odpowiedzi poprzez żądania do adresów URL, których odpowiedzi zawierają nagłówki `Vary` z dodatkowymi białymi znakami.

CVE-2026-44546
Niskie

Daphne w wersjach przed 4.2.2 ma problem z rekonstrukcją surowego żądania HTTP z nagłówków przetworzonych przez Twisted, co może prowadzić do wstrzykiwania dodatkowych nagłówków przez atakującego.

CVE-2026-35193
Niskie

W Django w wersjach 5.2 przed 5.2.15 oraz 6.0 przed 6.0.6 występuje problem z `django.middleware.cache.UpdateCacheMiddleware`, który nie dodaje nagłówka `Authorization` do nagłówka odpowiedzi `Vary` dla żądań zawierających ten nagłówek bez `Cache-Control: public`. To umożliwia zdalnym atakującym odczyt prywatnych odpowiedzi z pamięci podręcznej za pomocą nieautoryzowanych żądań do tego samego URL.

CVE-2026-10729
Niskie

W Thinkst Applied Research Canarytokens występuje podatność na wstrzykiwanie HTML w wiadomościach e-mail dotyczących 'Slow Redirect' i 'Cloned Website'. Umożliwia to manipulację interfejsem oraz ataki Cross-Site Scripting (XSS) w klientach pocztowych, które renderują wiadomości HTML.

CVE-2026-10722
Niskie

Wykryto podatność w cilium ebpf do wersji 0.21.0, która dotyczy funkcji loadRawSpec w pliku btf/btf.go. Manipulacja argumentem offset prowadzi do przepełnienia całkowitego.

CVE-2026-50052
Niskie

W Vinyl Cache przed 9.0.1 i Varnish Cache przed 9.0.3 wykryto lukę w parsowaniu żądań HTTP/2, która umożliwia atak typu request smuggling na backend. Atak może prowadzić do zatrucia pamięci podręcznej, ominięcia uwierzytelniania, a nawet ujawnienia lub manipulacji danymi. Podatność istnieje tylko przy włączonym wsparciu dla HTTP/2 (parametr +http2), które domyślnie jest wyłączone.

CVE-2026-10705
Niskie

W dask do wersji 3.0 znaleziono lukę w funkcji nunique_approx w pliku dask/dataframe/hyperloglog.py, która dotyczy komponentu HLL Handler. Problem ten prowadzi do nadmiernego zużycia zasobów i może być wykorzystany zdalnie, chociaż wymaga wysokiego poziomu skomplikowania.

CVE-2026-10719
Niskie

W openSeaChest w wersji 25.05.3 firmy Seagate występuje podatność na zapis poza przydzieloną pamięcią w funkcji --showSupportedFormats. Umożliwia to zapisanie dodatkowego bajtu poza przydzieloną pamięcią, co może prowadzić do nieautoryzowanej modyfikacji wartości przez złośliwie skonstruowane urządzenie NVMe.

CVE-2026-10717
Niskie

W openSeaChest w wersji 25.05.3 występuje podatność na zapis i odczyt poza dozwolonym zakresem w funkcji --showSCSIDefects. Umożliwia to zapis informacji o defektach poza dozwolonym zakresem dla bardzo dużych list defektów, co może być spowodowane przez uszkodzony dysk lub złośliwie skonstruowaną odpowiedź SCSI.

CVE-2026-48598
Niskie

Podatność w elixir-tesla (CVE-2026-48598) polega na niewłaściwym kodowaniu lub ucieczce danych wyjściowych, co pozwala na wstrzykiwanie nagłówków części multipart poprzez nieescapowane wartości parametru Content-Disposition. Parametry są interpolowane bez walidacji znaków CR, LF lub podwójnych cudzysłowów.

CVE-2026-48596
Niskie

Podatność CVE-2026-48596 dotyczy niewłaściwej neutralizacji sekwencji CRLF w nagłówkach HTTP w bibliotece elixir-tesla. Umożliwia to wstrzykiwanie nagłówków HTTP poprzez funkcję Tesla.Multipart.add_content_type_param/2, która nie waliduje wprowadzonych ciągów pod kątem znaków CR ( ) lub LF ( ).

CVE-2026-35202
Niskie

Pterodactyl to darmowy, otwartoźródłowy panel do zarządzania serwerami gier. W wersjach przed 1.12.3 występuje błąd logiczny w API klienta Pterodactyla, który pozwala użytkownikom na obejście przypisanych limitów dotyczących alokacji bazy danych.

PoprzedniaStrona 14 z 60Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS