Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-42862
Średnie

W Flowise, przed wersją 3.1.2, występuje podatność na masowe przypisanie w punkcie końcowym aktualizacji narzędzi. Umożliwia to uwierzytelnionym użytkownikom modyfikację właściwości kontrolowanych przez serwer, co prowadzi do naruszenia izolacji najemców w środowiskach wielo-obsługowych.

CVE-2026-29170
Średnie

W Apache HTTP Server w wersji 2.4.67 i wcześniejszych występuje podatność typu cross-site scripting w generowaniu listy katalogów HTML przez mod_proxy_ftp, gdy zawartość katalogu FTP jest wyświetlana za pomocą konfiguracji proxy.

CVE-2026-11529
Średnie

W podatności w designcomputer mysql-mcp-server do wersji 0.2.2 zidentyfikowano lukę w funkcji read_resource w pliku src/mysql_mcp_server/server.py, która prowadzi do wstrzykiwania SQL. Atak zdalny jest możliwy, a exploit został publicznie ujawniony.

CVE-2025-71315
Średnie

W jądrze Linuxa załatano podatność w sterowniku DRM vkms, polegającą na zastąpieniu niestandardowego timera vblank implementacją DRM. Błąd mógł prowadzić do nieprawidłowego działania synchronizacji pionowej.

CVE-2020-37248
Średnie

OfflineIMAP w wersjach przed 8.0.3 ufa serwerowi w zakresie jego możliwości STARTTLS przed uwierzytelnieniem, co umożliwia ataki STRIPTLS oraz man-in-the-middle, przejmując połączenie i wyciągając dane logowania w postaci niezaszyfrowanej.

CVE-2026-43972
Średnie

Podatność typu Origin Validation Error w module gun_http2 pozwala na wstrzykiwanie ciasteczek z różnych źródeł poprzez niezweryfikowane nagłówki HTTP/2 PUSH_PROMISE. Wartość nagłówka :authority jest przechowywana bez walidacji, co narusza standardy protokołu.

CVE-2026-25558
Średnie

QloApps w wersji do 1.7.0 zawiera podatność na przechowywane ataki typu cross-site scripting w menedżerze plików dla administratorów, co pozwala na wstrzykiwanie złośliwego JavaScriptu poprzez przesyłanie spreparowanych plików SVG.

CVE-2026-11521
Średnie

W systemie zarządzania bankiem Mohammed-eid35 zidentyfikowano podatność, która dotyczy nieznanej części pliku TransactionController.java. Manipulacja ta prowadzi do niewłaściwej autoryzacji, co umożliwia zdalne przeprowadzenie ataku.

CVE-2026-11519
Średnie

W systemie zarządzania zapasami SourceCodester w wersji 1.0 odkryto lukę bezpieczeństwa. Problem dotyczy nieznanej funkcjonalności pliku /Product_Inventory/api/users_handler.php, gdzie manipulacja argumentem ROLE prowadzi do niewłaściwej autoryzacji.

CVE-2026-11518
Średnie

Zidentyfikowano podatność w systemie zarządzania zapasami SourceCodester w wersji 1.0. Problem dotyczy nieznanej funkcji pliku /users.php w komponencie strony zarządzania użytkownikami, gdzie manipulacja argumentem fullname/username prowadzi do ataku typu cross-site scripting.

CVE-2026-11516
Średnie

Wykryto podatność w UTT HiPER 2610G do wersji 3.0.0-171107, która dotyczy funkcji strcpy w pliku /goform/formNatStaticMap. Manipulacja argumentem NatBinds prowadzi do przepełnienia bufora.

CVE-2026-9549
Średnie

W Checkmk w wersjach <2.5.0p5, <2.4.0p31, <2.3.0p48 oraz wszystkich wersjach 2.2.0 występuje podatność na przechowywane ataki XSS w wynikach aktywnych sprawdzeń odkrywania usług. Administratorzy mogą wstrzykiwać złośliwy kod HTML lub JavaScript, który jest wykonywany w przeglądarkach administratorów lub użytkowników z uprawnieniami do odczytu hostów.

CVE-2026-8833
Średnie

W Checkmk w wersjach <2.5.0p5, <2.4.0p31, <2.3.0p48 oraz wszystkich wersjach 2.2.0 występuje niewłaściwe neutralizowanie znaków zakodowanych w HTML w funkcji walidacji URL. Umożliwia to uwierzytelnionemu użytkownikowi ominięcie walidacji URL i wstrzyknięcie złośliwych adresów URL, takich jak URI javascript:, co prowadzi do ataków typu cross-site scripting, gdy inny użytkownik wchodzi w interakcję z przygotowanym linkiem.

CVE-2026-8078
Średnie

W Checkmk w wersjach <2.5.0p5, <2.4.0p31, <2.3.0p48 oraz wszystkich wersjach 2.2.0 występuje podatność na przechowywane ataki XSS w dzienniku zmian ustawień globalnych. Administratorzy mogą wprowadzać złośliwy kod HTML lub JavaScript, który jest wykonywany w przeglądarkach innych użytkowników podczas przeglądania strony Aktywuj zmiany lub dziennika audytu.

CVE-2026-7765
Średnie

Błąd autoryzacji w widżecie wiadomości użytkownika w Checkmk <2.5.0p5 pozwala na zwracanie wiadomości twórcy dashboardu zamiast wiadomości widza. Atakujący, znając ważny token udostępnienia publicznego dashboardu, może odczytać osobiste wiadomości nadawcy, wysyłając żądania do odpowiedniego punktu końcowego.

CVE-2026-7186
Średnie

W Checkmk w wersjach <2.5.0p5, <2.4.0p31, <2.3.0p48 oraz wszystkich wersjach 2.2.0 występuje podatność na przechowywane ataki XSS w widżecie dashboardu. Użytkownik z uprawnieniami do edytowania dashboardu może zapisać URL z niebezpiecznym schematem URI, takim jak javascript:, co pozwala na wykonywanie skryptów w przeglądarkach innych użytkowników podczas przeglądania dashboardu.

CVE-2026-11515
Średnie

W systemie zarządzania profilami mieszkańców Barangay odkryto podatność, która dotyczy nieznanej funkcji w pliku password_reset.php. Manipulacja argumentem new_password z użyciem hasła 'password123' prowadzi do wykorzystania twardo zakodowanego hasła.

CVE-2026-11514
Średnie

W systemie zarządzania szpitalem itsourcecode w wersji 1.0 znaleziono lukę, która umożliwia wstrzyknięcie SQL poprzez manipulację argumentem admissiontme w pliku /addpatient.php. Atak może być przeprowadzony zdalnie.

CVE-2026-11513
Średnie

W systemie zarządzania szpitalem itsourcecode w wersji 1.0 wykryto podatność, która dotyczy nieznanej funkcji w pliku /adminaccount.php. Manipulacja argumentem Date prowadzi do wstrzyknięcia SQL.

CVE-2026-11512
Średnie

W systemie zarządzania szpitalem itsourcecode w wersji 1.0 wykryto podatność, która dotyczy nieznanego przetwarzania pliku /billing.php. Manipulacja argumentem patientid prowadzi do ataku typu cross site scripting.

PoprzedniaStrona 161 z 560Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS