Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.13)

CVE-2026-45406
Krytyczne

Dokku przed wersją 0.38.2 zawiera podatność w pluginie openresty-vhosts, która pozwala na wykonanie dowolnych poleceń na hoście jako użytkownik dokku. Problem wynika z nieprawidłowego interpolowania nazw plików z katalogu openresty/http-includes/ repozytorium git aplikacji do pojedynczo cytowanego łańcucha powłoki, który jest następnie przetwarzany przez eval. Nazwa pliku zawierająca apostrof przełamuje cytowanie i umożliwia podstawienie poleceń.

CVE-2026-45405
Krytyczne

Podatność w Dokku przed wersją 0.38.2 pozwala atakującemu na zapis dowolnych plików w systemie poprzez wykorzystanie poleceń git:from-archive i certs:add. Atakujący może dostarczyć spreparowane archiwum tar/zip, które zawiera dowiązania symboliczne, co umożliwia nadpisanie pliku ~/.ssh/authorized_keys i uzyskanie nieograniczonego dostępu do powłoki.

CVE-2026-28385
Średnie

W LXD od wersji 4.12 do 6.9 wykryto podatność SSRF w funkcji importowania obrazów. Uwierzytelniony użytkownik z uprawnieniem can_create_images może wysyłać żądania do wewnętrznej infrastruktury sieciowej przez endpoint /images. Demon LXD nie waliduje docelowych adresów IP, co pozwala na łączenie się z adresami loopback, prywatnymi zakresami RFC1918 oraz metadanymi chmury.

CVE-2026-13434
Średnie

W KubeVirt znaleziono podatność w generatorze adnotacji sieciowych. Brak walidacji wartości networkName pozwala tenantowi z uprawnieniami kubevirt.io:edit na wstrzyknięcie kodu JSON do adnotacji v1.multus-cni.io/default-network. Gdy włączona jest funkcja ExternalNetResourceInjection (domyślnie wyłączona), Multus może podłączyć pod do dowolnej sieci w dowolnej przestrzeni nazw.

CVE-2026-11779
Średnie

W systemie PayloadCMS w wersji 3.84.1 wykryto podatność polegającą na nieprawidłowej autoryzacji operacji odblokowywania konta. Brak wystarczającej kontroli dostępu umożliwia nieautoryzowanym użytkownikom odblokowanie kont innych osób.

CVE-2025-32423
Średnie

W AutoGPT przed wersją 0.6.32 występuje podatność DoS w bloku ExtractTextInformationBlock. Złośliwy użytkownik może wysłać 10 KB treści, co powoduje zużycie 50 GB pamięci serwera, prowadząc do wyczerpania zasobów i odmowy usługi.

CVE-2025-32394
Średnie

W AutoGPT przed wersją 0.6.32 występuje podatność DoS w bloku AITextSummarizerBlock. Złośliwy użytkownik może wysłać 10 KB treści, co powoduje zużycie 50 GB pamięci serwera, prowadząc do wyczerpania zasobów i odmowy usługi.

CVE-2026-9640
Wysokie

Podatność w LXD (wersje 6.0 przed 6.9, 5.21.0 przed 5.21.5 i 5.0.0 przed 5.0.7) umożliwia eskalację uprawnień poprzez obejście polityk ograniczeń projektu podczas przywracania migawek. Uwierzytelniony operator projektu w środowisku wielodostępnym może zaimportować złośliwą kopię zapasową instancji zawierającą ograniczone klucze konfiguracyjne w migawce, które po przywróceniu są stosowane bez walidacji.

CVE-2026-9639
Średnie

W LXD do wersji 6.8 i 5.21 na systemie Linux występuje podatność polegająca na dereferencji wskaźnika zerowego w funkcji CreateCustomVolumeFromBackup. Uwierzytelniony użytkownik z uprawnieniami can_create_storage_volumes może spowodować odmowę usługi (DoS) poprzez przesłanie specjalnie spreparowanego archiwum kopii zapasowej woluminu niestandardowego, które pomija pole expires_at migawki.

CVE-2026-5757
Wysokie

Nieuwierzytelniony atakujący zdalnie może odczytać i wyeksfiltrować pamięć sterty serwera Ollama poprzez silnik kwantyzacji modeli, co prowadzi do ujawnienia poufnych danych.

CVE-2026-47214
Wysokie

W Docling przed wersją 2.94.0 stwierdzono niebezpieczne obsługiwanie URI i ścieżek w backendzie HTML. Luka ta może umożliwić atakującemu wykonanie nieautoryzowanych operacji na plikach lub zasobach sieciowych.

CVE-2026-45195
Wysokie

Podatność w oprogramowaniu jądra działającego w maszynie wirtualnej hosta pozwala na wysyłanie nieprawidłowych poleceń do oprogramowania układowego GPU, co może prowadzić do odczytu lub zapisu pamięci poza dozwolonym zakresem. Adresy przekazywane do oprogramowania układowego GPU mogą być wykorzystane do uzyskania bardziej uprzywilejowanego dostępu do pamięci niż jest to dozwolone przez system.

CVE-2026-44018
Średnie

Podatność w bibliotece Docling w wersjach od 2.45.0 do 2.91.0 dotyczy braku kontroli bezpieczeństwa podczas parsowania XML w backendzie METS-GBS oraz wykrywania formatu dokumentów. Atakujący może stworzyć złośliwe archiwa METS-GBS, które po przetworzeniu mogą prowadzić do odczytu wrażliwych plików, wyczerpania zasobów systemowych lub awarii aplikacji.

CVE-2026-21734
Wysokie

Podatność w kompilatorze shaderów GPU pozwala na zapis poza dozwolonym obszarem pamięci poprzez załadowanie strony internetowej zawierającej specjalnie spreparowany kod shadera. W pewnych warunkach może to prowadzić do awarii (segmentation fault) kompilatora.

CVE-2026-12411
Wysokie

Podatność Broken Access Control w komponencie devLXDInstancePatchHandler oprogramowania Canonical LXD umożliwia niezaufanemu gościowi zamontowanie, odczytanie i nadpisanie niestandardowego woluminu pamięci masowej innego gościa za pomocą spreparowanego żądania PATCH do /dev/lxd, gdy włączona jest opcja security.devlxd.management.volumes.

CVE-2026-0828
Wysokie

Sterownik jądra ProcessMonitorDriver.sys w kliencie endpoint Safetica dla systemów x64 w wersjach 10.5.75.0 i 11.11.4.0 umożliwia nieuprzywilejowanemu użytkownikowi nadużycie ścieżki IOCTL i zakończenie chronionych procesów systemowych.

CVE-2026-0685
Krytyczne

Podatność polegająca na wstrzykiwaniu kodu po stronie serwera (SSTI) w komponencie oceny wyrażeń silnika szablonów Genshi w wersji 0.7.9 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu (RCE) poprzez spreparowane wyrażenia w szablonie.

CVE-2025-11919
Krytyczne

Podatność w domyślnej maszynie JVM umożliwia dostęp do plików i katalogów w `/tmp/`, w tym do katalogów tymczasowych innych użytkowników na tym samym instancji chmurowej. Atakujący mający dostęp do współdzielonego `/tmp/` może przed uruchomieniem JVM ofiary utworzyć lub podmienić pliki `.jar` lub katalogi (poprzez plik `-init`), które zostaną załadowane jako pierwsze w classpath. W rezultacie może dojść do wykonania złośliwego kodu podczas startu JVM.

CVE-2023-20572
Średnie

Podatność w ASP (AMD Secure Processor) umożliwia uprzywilejowanemu atakującemu przeprowadzenie ataku brute-force na kod uwierzytelniania wiadomości (HMAC) z powodu obserwowalnych różnic czasowych. Pozwala to na wprowadzenie dowolnej wiadomości, co może prowadzić do naruszenia integralności danych.

CVE-2023-20540
Niskie

Podatność w ASP (AMD Secure Processor) umożliwia uprzywilejowanemu atakującemu przeprowadzenie ataku brute-force na kod uwierzytelniania wiadomości (HMAC) z powodu obserwowalnych różnic czasowych. Może to prowadzić do naruszenia integralności danych poprzez wprowadzenie dowolnej wiadomości.

PoprzedniaStrona 155 z 4552Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS