Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-14385
Wysokie

W przeglądarce Google Chrome na systemie Mac, w komponencie ANGLE, przed wersją 150.0.7871.46, występuje przepełnienie bufora sterty. Zdalny atakujący może wykorzystać specjalnie spreparowaną stronę HTML do uzyskania dostępu do pamięci poza dozwolonym zakresem.

CVE-2026-14383
Wysokie

Podatność w silniku V8 przeglądarki Google Chrome przed wersją 150.0.7871.46 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu w środowisku piaskownicy poprzez spreparowaną stronę HTML. Problem wynika z nieprawidłowej implementacji w komponencie V8.

CVE-2026-54263
Wysokie

W Wagtail, systemie zarządzania treścią opartym na Django, w wersjach przed 7.0.8, 7.3.3 i 7.4.2 występuje podatność na odbity XSS w widoku dynamicznego generatora URL obrazów w panelu administracyjnym. Użytkownik z ograniczonymi uprawnieniami edytora może przygotować złośliwy URL, który po otwarciu przez administratora wykona działania w jego imieniu.

CVE-2026-52190
Wysokie

Podatność przepełnienia bufora w routerze UTT nv518G w wersji oprogramowania nv518GV3v3.2.7-210919-161313 umożliwia zdalnemu atakującemu spowodowanie odmowy usługi (DoS) poprzez komponent gohead/sub_448384.

CVE-2026-38891
Wysokie

Podatność w komponencie gazebo_ros_diff_drive.cpp biblioteki gazebo_plugins w wersji 3.9.0 wynika z nieprawidłowej walidacji danych wejściowych. Atakujący może wysłać spreparowaną wiadomość geometry_msgs::Twist, powodując odmowę usługi (DoS).

CVE-2026-36912
Wysokie

W bibliotece MPC-BE przed commit 4341cb3 odkryto podatność polegającą na dereferencji wskaźnika NULL w funkcji AP4_AtomSampleTable::GetSample(). Atakujący może wykorzystać specjalnie spreparowany plik MP4, powodując awarię aplikacji (odmowę usługi).

CVE-2026-58263
Wysokie

W edytorze Jodit przed wersją 4.12.28 odkryto podatność polegającą na obejściu wbudowanego sanitizera HTML za pomocą nośnika MathML/<style>, który ukrywa niebezpieczny element przed przeszukiwaniem sanitizera. W rezultacie do wartości edytora przedostaje się program obsługi zdarzeń niewymagający interakcji użytkownika, co może prowadzić do mutacyjnego ataku XSS.

CVE-2026-55660
Wysokie

Podatność w systemie zarządzania treścią Tina umożliwia ataki XSS i przejęcie sesji poprzez niezweryfikowane komunikaty postMessage oraz niewystarczające oczyszczanie adresów URL w treści bogatej. Atakujący może wykorzystać okno przeglądarki ofiary do wysyłania sfałszowanych wiadomości i przejąć kontrolę nad sesją edycyjną.

CVE-2026-55153
Wysokie

Biblioteka mchange-commons-java przed wersją 0.6.0 zawiera podatność w implementacji JNDI ObjectFactory (JavaBeanObjectFactory), która pozwala na konstruowanie obiektów dowolnych klas i inicjalizację ich właściwości w stylu JavaBean. Dla niektórych klas, jak JEditorPane, umożliwia to wykonanie żądań HTTP na dowolny adres URL, co może być wykorzystane do ataków JNDI injection i deserializacji.

CVE-2026-54074
Wysokie

Podatność w @tinacms/cli przed wersją 2.4.3 umożliwia zdalne wykonanie kodu (RCE) podczas migracji z Forestry do Tina. Funkcja addVariablesToCode nie sprawdza poprawności wartości z pól label i name w plikach .forestry/**/*.yml, co pozwala na wstrzyknięcie dowolnego kodu JavaScript do pliku tina/templates.{ts,js}.

CVE-2026-50521
WysokieEPSS 53%

Podatność Use-After-Free w przeglądarce Microsoft Edge (opartej na Chromium) umożliwia autoryzowanemu atakującemu zdalne wykonanie kodu poprzez sieć.

CVE-2026-58593
Wysokie

Podatność w NodeBB umożliwia zdalnemu atakującemu podszywanie się pod dowolnego lokalnego użytkownika, w tym administratora, poprzez wysyłanie sfabrykowanych postów i prywatnych wiadomości za pomocą protokołu ActivityPub. Problem wynika z braku weryfikacji, czy uwierzytelniony zdalny aktor jest faktycznym autorem obiektu ActivityPub.

CVE-2026-58592
Wysokie

Podatność w Ladybird polega na błędzie wiszącego wskaźnika w module ładującym WebAssembly ESM. Funkcja JavaScript importowana do modułu WASM przez ESM powoduje, że lokalny obiekt FunctionType jest niszczony po zakończeniu iteracji pętli linkowania, a przechwycone wywołanie zwrotne nadal odwołuje się do niego, co prowadzi do naruszenia pamięci.

CVE-2026-14265
Wysokie

Podatność w RemoteQueryCachePlugin w AWS Advanced JDBC Wrapper (wersje 3.3.0 do 4.0.0) umożliwia wykonanie dowolnego kodu na serwerach aplikacji poprzez deserializację zaufanych danych z pamięci podręcznej Redis lub Valkey. Atakujący z dostępem do zapisu do współdzielonej pamięci podręcznej może wstrzyknąć spreparowany obiekt Java, który po odczytaniu przez aplikację uruchamia łańcuch gadżetów.

CVE-2026-49119
Wysokie

Gradio przed wersją 6.16.0 zawiera podatność na przechodzenie po ścieżkach w komponencie FileExplorer w metodzie preprocess(). Nieuwierzytelniony atakujący może ominąć skonfigurowany katalog główny, dostarczając segmenty ścieżki zawierające sekwencje przechodzenia do katalogu nadrzędnego lub ścieżki absolutne. Może to prowadzić do odczytu dowolnych plików lub ujawnienia wrażliwych danych poza zamierzonym katalogiem.

CVE-2026-41121
Wysokie

Agent zarządzania urządzeniami Dell (DDMA) w wersjach wcześniejszych niż 26.05 zawiera podatność polegającą na nieprawidłowym rozwiązywaniu dowiązań przed dostępem do pliku („podążanie za dowiązaniem”). Niskouprzywilejowany atakujący z lokalnym dostępem może potencjalnie wykorzystać tę lukę do podniesienia swoich uprawnień.

CVE-2026-13760
Wysokie

Podatność na wstrzykiwanie poleceń systemu operacyjnego w potoku budowania obrazów Docker dla funkcji Node.js w bibliotece AWS aws-cdk-lib. Atakujący kontrolujący ciągi wersji zależności w pliku package.json może wykonać dowolne polecenia na hoście z narzędziami CDK poprzez wstrzyknięcie metaznaków powłoki w pomocniku OsCommand.

CVE-2026-57736
Wysokie

Podatność w HubSpot umożliwia wstawienie wrażliwych informacji do wysyłanych danych, co pozwala na odzyskanie osadzonych danych wrażliwych. Problem dotyczy wersji HubSpot od n/a do 11.3.51.

CVE-2026-57723
Wysokie

Podatność CSRF w VikBooking Hotel Booking Engine & PMS umożliwia atakującemu wykonanie operacji prowadzących do przejścia ścieżki (Path Traversal). Luka występuje we wszystkich wersjach do 1.8.12 włącznie.

CVE-2026-54428
Wysokie

Podatność w dekoderze HPACK HTTP/2 w Apache HttpComponents Core (wersje 5.4.2 i wcześniejsze, 5.5-beta1 i wcześniejsze) pozwala zdalnemu atakującemu na wyczerpanie pamięci poprzez wysłanie nadmiernie dużych skompresowanych bloków nagłówków przed potwierdzeniem ustawień HTTP/2, co prowadzi do odmowy usługi (DoS).

PoprzedniaStrona 16 z 3334Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS