Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-3823
Krytyczne

W przełącznikach serii EHG2408 firmy Atop Technologies wykryto podatność przepełnienia bufora opartego na stosie. Umożliwia ona nieuwierzytelnionym zdalnym atakującym przejęcie kontroli nad przepływem wykonania programu i wykonanie dowolnego kodu.

CVE-2026-3630
Krytyczne

Delta Electronics COMMGR2 posiada podatność typu przepełnienie bufora na stosie. Może to prowadzić do nieautoryzowanego dostępu lub wykonania złośliwego kodu.

CVE-2026-3703
Krytyczne

W urządzeniu Wavlink NU516U1 251208 zidentyfikowano lukę, która dotyczy funkcji sub_401A10 w pliku /cgi-bin/login.cgi. Manipulacja argumentem ipaddr może prowadzić do zapisu poza przydzielonym obszarem pamięci, co stwarza możliwość zdalnego ataku.

CVE-2026-30909
Krytyczne

Wersje Crypt::NaCl::Sodium do 2.002 dla Perla mają potencjalne przepełnienia całkowite. Funkcje bin2hex, encrypt, aes256gcm_encrypt_afternm i seal nie sprawdzają, czy rozmiar wyjścia będzie mniejszy niż SIZE_MAX, co może prowadzić do owinięcia całkowitego i zbyt małego bufora wyjściowego.

CVE-2026-30863
Krytyczne

Parse Server to otwarte oprogramowanie backendowe, które może być wdrażane na każdej infrastrukturze obsługującej Node.js. W wersjach przed 8.6.10 i 9.5.0-alpha.11 adaptery uwierzytelniania Google, Apple i Facebooka pomijają walidację roszczenia 'audience' w przypadku braku odpowiedniej konfiguracji, co pozwala atakującemu na uwierzytelnienie się jako dowolny użytkownik na serwerze Parse przy użyciu ważnego JWT z innej aplikacji.

CVE-2026-30861
Krytyczne

WeKnora to framework oparty na LLM, który umożliwia głębokie zrozumienie dokumentów i semantyczne wyszukiwanie. W wersjach od 0.2.5 do przed 0.2.10 występuje podatność na zdalne wykonanie kodu (RCE) z powodu niewłaściwej walidacji konfiguracji MCP stdio, co pozwala atakującym na rejestrację konta i wykorzystanie luki wstrzykiwania poleceń.

CVE-2026-30860
Krytyczne

WeKnora to framework oparty na LLM, zaprojektowany do głębokiego zrozumienia dokumentów i semantycznego wyszukiwania. Przed wersją 0.2.12 występowała podatność na zdalne wykonanie kodu (RCE) w funkcjonalności zapytań do bazy danych, umożliwiająca atakującym ominięcie zabezpieczeń przed wstrzyknięciem SQL.

CVE-2026-30832
Krytyczne

Soft Serve to samodzielny serwer Git, który od wersji 0.6.0 do przed wersją 0.11.4 pozwala uwierzytelnionemu użytkownikowi SSH na wymuszenie serwera do wykonywania żądań HTTP do wewnętrznych adresów IP. Atakujący może wykorzystać złośliwy URL z parametrem --lfs-endpoint podczas importu repozytoriów, co może prowadzić do uzyskania pełnego dostępu do wewnętrznych usług.

CVE-2026-29191
Krytyczne

ZITADEL to platforma zarządzania tożsamością typu open source. W wersjach od 4.0.0 do 4.11.1 odkryto podatność w interfejsie logowania V2, która umożliwiała potencjalne przejęcie konta poprzez XSS w punkcie końcowym /saml-post. Problem został naprawiony w wersji 4.12.0.

CVE-2026-30824
Krytyczne

Flowise to interfejs użytkownika typu drag & drop do budowania dostosowanych przepływów dużych modeli językowych. W wersjach przed 3.0.13, router NVIDIA NIM (/api/v1/nvidia-nim/*) był dozwolony w globalnym middleware autoryzacyjnym, co umożliwiało nieautoryzowany dostęp do uprzywilejowanych punktów zarządzania kontenerami i generowania tokenów.

CVE-2026-30821
Krytyczne

Flowise to interfejs typu drag & drop do budowy dostosowanego przepływu dużego modelu językowego. W wersjach przed 3.0.13, punkt końcowy /api/v1/attachments/:chatflowId/:chatId jest wymieniony w WHITELIST_URLS, co umożliwia nieautoryzowany dostęp do API przesyłania plików, pozwalając atakującym na przesyłanie złośliwych skryptów lub dowolnych plików.

CVE-2026-25072
Krytyczne

Oprogramowanie układowe przełącznika sieciowego XikeStor SKS8310-8X w wersjach 1.04.B07 i wcześniejszych zawiera podatność na przewidywalny identyfikator sesji w punkcie końcowym /goform/SetLogin. Umożliwia to zdalnym atakującym przejęcie uwierzytelnionych sesji użytkowników.

CVE-2026-25070
Krytyczne

Wersje oprogramowania układowego XikeStor SKS8310-8X Network Switch do 1.04.B07 zawierają podatność na wstrzykiwanie poleceń systemowych w punkcie końcowym /goform/PingTestSet. Umożliwia to nieautoryzowanym zdalnym atakującym wykonywanie dowolnych poleceń systemowych.

CVE-2026-29789
Krytyczne

Vito to samodzielnie hostowana aplikacja webowa, która pomaga zarządzać serwerami i wdrażać aplikacje PHP na serwerach produkcyjnych. W wersjach przed 3.20.3 brakowało sprawdzenia autoryzacji w akcjach tworzenia witryn, co pozwalało uwierzytelnionemu atakującemu z dostępem do zapisu w jednym projekcie na tworzenie/zarządzanie witrynami na serwerach należących do innych projektów, poprzez podanie obcego server_id.

CVE-2026-29063
KrytyczneEPSS 58%

Biblioteka Immutable.js zawiera podatność na zanieczyszczenie prototypu (Prototype Pollution) w funkcjach mergeDeep(), mergeDeepWith(), merge(), Map.toJS() i Map.toObject(). Problem został naprawiony w wersjach 3.8.3, 4.3.7 i 5.1.5.

CVE-2026-30831
Krytyczne

W Rocket.Chat, przed wersjami 7.10.8, 7.11.5, 7.12.5, 7.13.4, 8.0.2, 8.1.1 i 8.2.0, występowały luki w uwierzytelnianiu w usłudze DDP Streamer. Metoda Account.login nie wymuszała Uwierzytelniania Dwuskładnikowego (2FA) ani nie weryfikowała statusu konta użytkownika, co pozwalało na logowanie zdezaktualizowanych użytkowników.

CVE-2026-28514
Krytyczne

W Rocket.Chat, przed wersjami 7.8.6, 7.9.8, 7.10.7, 7.11.4, 7.12.4, 7.13.3 i 8.0.0, występuje krytyczna podatność na obejście uwierzytelniania w usłudze konta, która pozwala atakującemu zalogować się jako dowolny użytkownik z ustawionym hasłem, używając dowolnego hasła. Problem wynika z braku słowa kluczowego await przy wywoływaniu asynchronicznej funkcji walidacji hasła.

CVE-2026-26288
Krytyczne

Punkty końcowe WebSocket nie mają odpowiednich mechanizmów uwierzytelniania, co umożliwia atakującym nieautoryzowane podszywanie się pod stacje i manipulowanie danymi wysyłanymi do zaplecza. Atakujący bez uwierzytelnienia może połączyć się z punktem końcowym OCPP WebSocket, używając znanego lub odkrytego identyfikatora stacji ładującej.

CVE-2026-26051
Krytyczne

Punkty końcowe WebSocket nie mają odpowiednich mechanizmów uwierzytelniania, co umożliwia atakującym podszywanie się pod stacje i manipulowanie danymi wysyłanymi do backendu. Atakujący bez uwierzytelnienia może połączyć się z punktem końcowym OCPP WebSocket, używając znanego identyfikatora stacji ładującej, a następnie wydawać lub odbierać polecenia OCPP jako legalny ładowarka.

CVE-2026-2331
Krytyczne

Atakujący może przeprowadzać nieautoryzowane operacje odczytu i zapisu w wrażliwych obszarach systemu plików za pomocą AppEngine Fileaccess przez HTTP z powodu niewłaściwych ograniczeń dostępu. Krytyczny katalog systemu plików został niezamierzenie ujawniony przez funkcję dostępu do plików opartą na HTTP, co umożliwia dostęp bez uwierzytelnienia.

PoprzedniaStrona 149 z 562Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS