Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-53737
Średnie

Juicer w wersji do 1.12.18 nie ucieka z pól odpowiedzi API zdalnego źródła przed ich renderowaniem na stronie ustawień administratora. Atakujący, którzy kontrolują dane z podłączonego źródła, mogą wstrzykiwać skrypty, które wykonują się w przeglądarce administratora podczas ładowania strony ustawień.

CVE-2026-53736
Średnie

Easy Twitter Feeds w wersji przed 1.2.13 zawiera podatność na atak typu cross-site request forgery w obsłudze akcji duplicate_post, która nie weryfikuje nonce. Atakujący mogą oszukać uwierzytelnionego użytkownika, aby odwiedził spreparowany link, który duplikuje dowolny post, niezależnie od jego typu.

CVE-2026-53634
Średnie

Sharp to framework zarządzania treścią zbudowany dla Laravel jako pakiet. W wersjach od 9.0.0 do przed 9.22.3, punkty końcowe create i store funkcji Szybkiego Tworzenia nie wymuszały żadnej kontroli autoryzacji.

CVE-2026-48108
Średnie

Russh to biblioteka SSH w języku Rust, która w wersjach od 0.34.0-beta.1 do przed wersją 0.61.0 nie egzekwowała zasad dotyczących identyfikacji SSH tak rygorystycznie jak OpenSSH. Problem ten pozwalał na przyjmowanie nieprawidłowych linii identyfikacyjnych przez serwer, co mogło prowadzić do wykorzystania zasobów połączenia w fazie wstępnej autoryzacji.

CVE-2026-48107
Średnie

Russh to biblioteka klienta i serwera SSH napisana w Rust. W wersjach od 0.37.0 do przed 0.61.0, w ścieżce uwierzytelniania interaktywnego klienta russh, złośliwy serwer SSH mógł wysłać USERAUTH_INFO_REQUEST z kontrolowaną przez atakującego liczbą komunikatów, co prowadziło do wykorzystania tej liczby bez wcześniejszej walidacji danych.

CVE-2026-46705
Średnie

Russh to biblioteka klienta i serwera SSH napisana w Rust. W wersjach od 0.34.0-beta.1 do przed 0.61.0, stan autoryzacji użytkownika jest przechowywany wewnętrznie, co może prowadzić do nieprawidłowego przetwarzania żądań autoryzacyjnych, gdy zmienia się użytkownik lub usługa.

CVE-2026-46523
Średnie

W ImageMagick przed wersjami 7.1.2.23 i 6.9.13-48, specjalnie spreparowany obraz MSL może spowodować użycie pamięci po jej zwolnieniu (heap-use-after-free).

CVE-2026-45664
Średnie

W ImageMagick przed wersjami 6.9.13-47 i 7.1.2-22 brak sprawdzenia w koderze MNG umożliwia odczytanie większej liczby obrazów niż pozwala na to polityka limitu listy, co prowadzi do nadmiernego zużycia zasobów.

CVE-2026-45624
Średnie

ImageMagick przed wersjami 6.9.13-47 i 7.1.2-22 ma podatność na nadmierne odczytywanie pamięci o długości 24 bajtów podczas wykonywania zniekształcenia wielomianowego przy określonych argumentach. Problem został naprawiony w wersjach 6.9.13-47 i 7.1.2-22.

CVE-2026-45384
Średnie

W bibliotece bit7z przed wersją 4.0.12 występuje podatność na nadpisanie plików w wyniku ataku symlink na przewidywalne pliki tymczasowe podczas aktualizacji archiwum. Problem został naprawiony w wersji 4.0.12.

CVE-2026-45359
Średnie

W ImageMagick przed wersjami 6.9.13-48 i 7.1.2-22 nieprawidłowa wartość parametru connected-components:keep-top może prowadzić do odczytu poza zakresem pamięci sterty podczas wykonywania operacji na połączonych komponentach.

CVE-2026-45358
Średnie

ImageMagick przed wersjami 6.9.13-47 i 7.1.2-22 zawierał błąd 'off by one' w enkoderze meta, co mogło prowadzić do odczytu poza granicami jednego bajtu. Problem został naprawiony w wersjach 6.9.13-47 i 7.1.2-22.

CVE-2026-45031
Średnie

W ImageMagick przed wersjami 6.9.13-47 i 7.1.2-22 brakowało sprawdzenia w dekoderze PSD, co umożliwiało ominięcie polityki ograniczeń długości listy podczas dekodowania obrazów PSD. Inne ograniczenia bezpieczeństwa nadal obowiązywały.

CVE-2026-42326
Średnie

ImageMagick przed wersjami 6.9.13-47 i 7.1.2-22 miał lukę, która pozwalała na odczyt poza granicami pamięci podczas zapisywania pliku wyjściowego IPTC. Problem został naprawiony w wymienionych wersjach.

CVE-2026-11604
Średnie

Błędne obliczenie rozmiaru bufora w generatorze kluczy epok w OpenVPN ovpn-dco-win w wersjach od 2.0.0 do 2.8.3 umożliwia zdalnemu uwierzytelnionemu partnerowi wywołanie przepełnienia bufora w stercie oraz uszkodzenia pamięci jądra poprzez spreparowany pakiet danych, co prowadzi do awarii systemu (odmowa usługi).

CVE-2026-0269
Średnie

W podatności CVE-2026-0269 występuje błąd w zarządzaniu pamięcią podczas przetwarzania ruchu tunelowego w oprogramowaniu Palo Alto Networks PAN-OS®. Umożliwia to uwierzytelnionemu użytkownikowi inicjowanie restartów systemu za pomocą złośliwie skonstruowanego pakietu.

CVE-2026-0268
Średnie

W podatności CVE-2026-0268 występuje możliwość obejścia zabezpieczeń w agencie Prisma Access dla systemu Linux, co pozwala lokalnemu atakującemu na kierowanie ruchu sieciowego poza tunel VPN.

CVE-2026-0267
Średnie

Podatność w aplikacji Palo Alto Networks GlobalProtect na macOS umożliwia lokalnemu użytkownikowi poznanie skonfigurowanych kodów dostępu do wyłączania, odłączania lub odinstalowywania aplikacji. Po poznaniu kodu użytkownik może wykonać te czynności nawet jeśli konfiguracja GlobalProtect normalnie by na to nie zezwalała.

CVE-2026-50127
Średnie

Weblate to narzędzie do lokalizacji oparte na sieci. W wersjach od 5.15 do przed wersją 2026.6, VCS_RESTRICT_PRIVATE nieprawidłowo uwzględniał niektóre przejściowe zakresy IPv6, adresy multicastowe oraz niektóre półprywatne zakresy IPv4, co pozwalało na ominięcie ograniczeń dotyczących prywatnych zakresów adresów.

CVE-2026-46683
Średnie

Snappy to biblioteka PHP umożliwiająca generowanie miniaturek, zrzutów ekranu lub plików PDF z adresu URL lub strony HTML. Przed wersją 1.7.0 występowała podatność na SSRF oraz odczyt lokalnych plików za pomocą opcji xsl-style-sheet.

PoprzedniaStrona 141 z 564Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS