Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
W podatności CVE-2026-43966 występuje niewłaściwa neutralizacja sekwencji CRLF w nagłówkach HTTP w bibliotece cowlib, co pozwala na dzielenie odpowiedzi HTTP poprzez wstrzykiwanie bajtów niebędących znakami VCHAR w wartości pól strukturalnych.
OpenBullet2 w wersji do 0.3.2 na systemie Windows zawiera podatność na ujawnienie poświadczeń, która pozwala zdalnym atakującym na przechwycenie hasha NTLMv2 użytkownika procesu. Umożliwia to skonfigurowanie źródła proxy zadania z ścieżką UNC wskazującą na serwer kontrolowany przez atakującego.
W 389 Directory Server wykryto podatność w pluginie Content Synchronization persistent search, która pozwala na niekontrolowany wzrost pamięci, gdy uwierzytelniony klient przestaje odczytywać odpowiedzi synchronizacji, co prowadzi do odmowy usługi. Dodatkowo, błędy wyścigu w cyklu życia wątków pluginu mogą powodować awarie podczas zamykania połączenia lub wyłączania serwera.
W systemie zarządzania studentami imvks786 zidentyfikowano podatność, która dotyczy nieznanej funkcjonalności pliku /see.php w komponencie Endpoint Usuwania Studentów. Manipulacja argumentem del prowadzi do niewłaściwej autoryzacji.
Zidentyfikowano słabość w systemie zarządzania studentami imvks786, która dotyczy nieznanej funkcji w pliku /add.php komponentu obsługi rekordów studentów. Wykonanie manipulacji może prowadzić do niewłaściwych kontroli dostępu.
Flowise to interfejs typu drag & drop do budowania dostosowanych przepływów dużych modeli językowych. W wersjach przed 3.1.2, podczas pobierania poświadczeń z użyciem parametru filter credentialName, pole encryptedData nie jest usuwane z odpowiedzi, co może prowadzić do ujawnienia wrażliwych danych.
Podatność w zarządzaniu uprawnieniami w Apache HTTP Server 2.4.67 i wcześniejszych pozwala lokalnym autorom plików .htaccess na odczyt plików z uprawnieniami użytkownika httpd.
W podatności CVE-2026-43951 występuje odczyt poza granicami w serwerze Apache HTTP z włączonymi modułami mod_headers i mod_mime oraz wieloma językami odpowiedzi. Dotyczy to wersji Apache HTTP Server od 2.4.0 do 2.4.67.
W Flowise, przed wersją 3.1.2, występuje podatność na masowe przypisanie w punkcie końcowym aktualizacji narzędzi. Umożliwia to uwierzytelnionym użytkownikom modyfikację właściwości kontrolowanych przez serwer, co prowadzi do naruszenia izolacji najemców w środowiskach wielo-obsługowych.
W Apache HTTP Server w wersji 2.4.67 i wcześniejszych występuje podatność typu cross-site scripting w generowaniu listy katalogów HTML przez mod_proxy_ftp, gdy zawartość katalogu FTP jest wyświetlana za pomocą konfiguracji proxy.
W podatności w designcomputer mysql-mcp-server do wersji 0.2.2 zidentyfikowano lukę w funkcji read_resource w pliku src/mysql_mcp_server/server.py, która prowadzi do wstrzykiwania SQL. Atak zdalny jest możliwy, a exploit został publicznie ujawniony.
W jądrze Linuxa załatano podatność w sterowniku DRM vkms, polegającą na zastąpieniu niestandardowego timera vblank implementacją DRM. Błąd mógł prowadzić do nieprawidłowego działania synchronizacji pionowej.
OfflineIMAP w wersjach przed 8.0.3 ufa serwerowi w zakresie jego możliwości STARTTLS przed uwierzytelnieniem, co umożliwia ataki STRIPTLS oraz man-in-the-middle, przejmując połączenie i wyciągając dane logowania w postaci niezaszyfrowanej.
Podatność typu Origin Validation Error w module gun_http2 pozwala na wstrzykiwanie ciasteczek z różnych źródeł poprzez niezweryfikowane nagłówki HTTP/2 PUSH_PROMISE. Wartość nagłówka :authority jest przechowywana bez walidacji, co narusza standardy protokołu.
QloApps w wersji do 1.7.0 zawiera podatność na przechowywane ataki typu cross-site scripting w menedżerze plików dla administratorów, co pozwala na wstrzykiwanie złośliwego JavaScriptu poprzez przesyłanie spreparowanych plików SVG.
W systemie zarządzania bankiem Mohammed-eid35 zidentyfikowano podatność, która dotyczy nieznanej części pliku TransactionController.java. Manipulacja ta prowadzi do niewłaściwej autoryzacji, co umożliwia zdalne przeprowadzenie ataku.
W systemie zarządzania zapasami SourceCodester w wersji 1.0 odkryto lukę bezpieczeństwa. Problem dotyczy nieznanej funkcjonalności pliku /Product_Inventory/api/users_handler.php, gdzie manipulacja argumentem ROLE prowadzi do niewłaściwej autoryzacji.
Zidentyfikowano podatność w systemie zarządzania zapasami SourceCodester w wersji 1.0. Problem dotyczy nieznanej funkcji pliku /users.php w komponencie strony zarządzania użytkownikami, gdzie manipulacja argumentem fullname/username prowadzi do ataku typu cross-site scripting.
Wykryto podatność w UTT HiPER 2610G do wersji 3.0.0-171107, która dotyczy funkcji strcpy w pliku /goform/formNatStaticMap. Manipulacja argumentem NatBinds prowadzi do przepełnienia bufora.
W Checkmk w wersjach <2.5.0p5, <2.4.0p31, <2.3.0p48 oraz wszystkich wersjach 2.2.0 występuje podatność na przechowywane ataki XSS w wynikach aktywnych sprawdzeń odkrywania usług. Administratorzy mogą wstrzykiwać złośliwy kod HTML lub JavaScript, który jest wykonywany w przeglądarkach administratorów lub użytkowników z uprawnieniami do odczytu hostów.

