Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-11666
Średnie

Niewystarczająca walidacja nieufnych danych wejściowych w Google Chrome przed wersją 149.0.7827.103 umożliwia zdalnemu atakującemu przeprowadzenie oszustwa interfejsu użytkownika za pomocą spreparowanej strony HTML.

CVE-2026-11665
Średnie

W Google Chrome na systemie Windows przed wersją 149.0.7827.103 wystąpiła podatność związana z odczytem danych poza przydzielonym zakresem, co umożliwia zdalnemu atakującemu wyciek danych między różnymi źródłami za pomocą spreparowanej strony HTML.

CVE-2026-11658
Średnie

Niewystarczająca walidacja nieufnych danych wejściowych w rozszerzeniach Google Chrome przed wersją 149.0.7827.103 umożliwiła zdalnemu atakującemu, który przejął proces renderowania, ominięcie izolacji witryn za pomocą spreparowanej strony HTML.

CVE-2026-11653
Średnie

Nieodpowiednia implementacja w rozszerzeniach Google Chrome przed wersją 149.0.7827.103 umożliwiła zdalnemu atakującemu, który przejął proces renderowania, ominięcie izolacji witryn za pomocą spreparowanej strony HTML.

CVE-2026-11628
Średnie

Wykorzystanie po zwolnieniu pamięci w Ozone w Google Chrome przed wersją 149.0.7827.103 umożliwia lokalnemu atakującemu potencjalne wykorzystanie uszkodzenia sterty poprzez fizyczny dostęp do urządzenia.

CVE-2026-40215
Średnie

W OpenVPN w wersjach od 2.6.0 do 2.6.19 oraz 2.7_alpha1 do 2.7.1 występuje warunkowanie wyścigu, które może pozwolić zdalnym atakującym na spowodowanie awarii serwera lub wycieku pamięci sterty poprzez wykorzystanie błędu use-after-free podczas promowania sesji TLS.

CVE-2026-11585
Średnie

W systemie zarządzania frekwencją uczniów CodeAstro w wersji 1.0 zidentyfikowano podatność. Manipulacja argumentem classId w pliku /attendance-php/Admin/createClassArms.php prowadzi do wstrzykiwania SQL, co może być zainicjowane zdalnie.

CVE-2026-47345
Średnie

Atrybuty przestrzeni nazw nie są poprawnie kodowane podczas serializacji HTML, co pozwala na obejście mechanizmu zapobiegającego atakom XSS w typo3/html-sanitizer przed wersją 2.3.2.

CVE-2026-35058
Średnie

Nieprawidłowa walidacja długości pakietu podczas ekstrakcji klucza tls-crypt-v2 w OpenVPN od wersji 2.6.0 do 2.6.19 oraz 2.7_alpha1 do 2.7.1 pozwala uwierzytelnionym atakującym na wywołanie krytycznego błędu i spowodowanie odmowy usługi za pomocą specjalnie przygotowanego pakietu.

CVE-2026-11584
Średnie

W systemie zarządzania frekwencją uczniów CodeAstro w wersji 1.0 odkryto podatność, która dotyczy nieznanej funkcji w pliku /attendance-php/Admin/createClass.php?action=edit. Manipulacja argumentem ID prowadzi do wstrzyknięcia SQL.

CVE-2026-11583
Średnie

W systemie zarządzania frekwencją uczniów CodeAstro w wersji 1.0 odkryto podatność, która dotyczy nieznanej funkcji w pliku /attendance-php/Admin/createClass.php. Manipulacja argumentem className prowadzi do wstrzykiwania SQL.

CVE-2026-46486
Średnie

MVT (Mobile Verification Toolkit) zawiera podatność na przejście ścieżki związaną z niesanitizowanymi identyfikatorami plików w przetwarzaniu kopii zapasowych iOS przed wersją 2026.5.12. Problem ten został naprawiony w wersji 2026.5.12.

CVE-2026-11559
Średnie

W systemie płacowym CodeAstro w wersji 1.0 wykryto podatność, która dotyczy nieznanej funkcji w pliku /view_account.php. Manipulacja argumentem ID prowadzi do wstrzyknięcia SQL, co może być przeprowadzone zdalnie.

CVE-2026-11558
Średnie

W systemie płacowym CodeAstro w wersji 1.0 wykryto podatność, która umożliwia atak SQL injection poprzez manipulację argumentem rate/salary_rate w pliku /home_salary.php. Atak można przeprowadzić zdalnie.

CVE-2026-10787
Średnie

Brak autoryzacji w API grup użytkowników usuniętych w Devolutions Server umożliwia uwierzytelnionemu użytkownikowi o niskich uprawnieniach enumerację metadanych usuniętych grup użytkowników za pomocą odpowiednio skonstruowanego żądania API.

CVE-2026-10786
Średnie

Nieprawidłowa kontrola dostępu w ustawieniach integracji biletowej w Devolutions Server umożliwia uwierzytelnionemu użytkownikowi o niskich uprawnieniach uzyskanie haseł w postaci niezaszyfrowanej dla skonfigurowanych integracji biletowych za pomocą odpowiednio skonstruowanego żądania API.

CVE-2026-10544
Średnie

Nieprawidłowe neutralizowanie specjalnych elementów w szablonach rotacji haseł wbudowanego dostawcy PAM w Devolutions Server umożliwia uwierzytelnionemu użytkownikowi z dostępem do zapisu w skarbcu wykonywanie dowolnych poleceń na systemach zarządzanych przez dotkniętego dostawcę PAM.

CVE-2026-11554
Średnie

W podatności CVE-2026-11554 zidentyfikowano problem w TOTOLINK CP450 w wersji 4.1.0cu.747, dotyczący pliku /etc/vsftpd.conf komponentu vsftpd. Manipulacja tym plikiem prowadzi do naruszenia zasady minimalnych uprawnień.

CVE-2026-11552
Średnie

W systemie SourceCodester Online Examination & Learning Management System oraz Syllabus-aligned Learning Management and Examination System 1.0 zidentyfikowano podatność w pliku import_users.php. Manipulacja argumentem raw_password z wykorzystaniem hasła CICT_2026 prowadzi do użycia twardo zakodowanego hasła.

CVE-2026-46314
Średnie

W jądrze Linux w sterowniku DRM dla V3D wykryto podatność umożliwiającą lokalnemu użytkownikowi wywołanie nieskończonej pętli w kontekście jądra. Atak polega na przesłaniu pustego rozszerzenia multisync z samoodnoszącym się wskaźnikiem listy, co omija istniejące zabezpieczenia i blokuje wątek wywołujący, trwale obciążając rdzeń procesora.

PoprzedniaStrona 152 z 553Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS