Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.13)

CVE-2026-25811
Krytyczne

PlaciPy to system zarządzania miejscami przeznaczony dla instytucji edukacyjnych. W wersji 1.0.0 aplikacja pobiera identyfikator najemcy bezpośrednio z domeny e-mail podanej przez użytkownika, nie weryfikując własności ani rejestracji domeny, co umożliwia dostęp do danych między najemcami.

CVE-2026-25876
Krytyczne

PlaciPy to system zarządzania przyjęciami zaprojektowany dla instytucji edukacyjnych. W wersji 1.0.0, plik backend/src/routes/results.routes.ts weryfikuje autoryzację, ale nie egzekwuje autoryzacji na poziomie obiektów, co pozwala na zwrócenie wszystkich wyników dla danego oceniania.

CVE-2026-25810
Krytyczne

PlaciPy to system zarządzania przyjęciami zaprojektowany dla instytucji edukacyjnych. W wersji 1.0.0, plik backend/src/routes/student.submission.routes.ts weryfikuje uwierzytelnienie, ale nie egzekwuje autoryzacji na poziomie obiektów (sprawdzania własności).

CVE-2026-25809
Krytyczne

PlaciPy to system zarządzania praktykami zaprojektowany dla instytucji edukacyjnych. W wersji 1.0.0 punkt końcowy oceny kodu nie weryfikuje stanu cyklu życia oceny przed umożliwieniem jej wykonania.

CVE-2026-25057
Krytyczne

MarkUs to aplikacja webowa do składania i oceniania prac studentów. W wersjach przed 2.9.1, instruktorzy mogli przesyłać plik zip, aby utworzyć zadanie z wyeksportowanej konfiguracji, co prowadziło do możliwości zapisu plików na dysku bez odpowiedniej weryfikacji ścieżek.

CVE-2026-24679
Krytyczne

FreeRDP to darmowa implementacja protokołu zdalnego pulpitu. W wersjach przed 3.22.0 klient URBDRC używa numerów interfejsów dostarczonych przez serwer jako indeksów tablic bez sprawdzania granic, co prowadzi do odczytu poza zakresem w libusb_udev_select_interface. Ta podatność została naprawiona w wersji 3.22.0.

CVE-2026-24677
Krytyczne

FreeRDP to darmowa implementacja protokołu zdalnego pulpitu. W wersjach przed 3.22.0 funkcja ecam_encoder_compress_h264 ufa wymiarom kontrolowanym przez serwer i nie weryfikuje rozmiaru bufora źródłowego, co prowadzi do odczytu poza zakresem w funkcji sws_scale. Ta podatność została naprawiona w wersji 3.22.0.

CVE-2025-66630
Krytyczne

Fiber to framework webowy inspirowany Express, napisany w Go. W wersjach przed 2.52.11, na wersjach Go przed 1.24, implementacja crypto/rand może zwracać błąd, jeśli nie można uzyskać bezpiecznej losowości, co prowadzi do używania przewidywalnych identyfikatorów w krytycznych ścieżkach bezpieczeństwa.

CVE-2025-6830
Krytyczne

W module haseł firmy Xpoda Türkiye Information Technology Inc. występuje podatność na wstrzykiwanie SQL (SQL Injection) z powodu niewłaściwego neutralizowania specjalnych elementów używanych w poleceniach SQL. Problem ten dotyczy modułu haseł do dnia 11022026.

CVE-2026-25848
Krytyczne

W JetBrains Hub przed wersją 2025.3.119807 istniała podatność umożliwiająca obejście uwierzytelniania, co pozwalało na wykonywanie działań administracyjnych.

CVE-2026-2234
Krytyczne

C&Cm@il opracowany przez HGiga ma lukę związaną z brakiem uwierzytelnienia, co pozwala nieautoryzowanym zdalnym atakującym na odczyt i modyfikację treści wiadomości dowolnego użytkownika.

CVE-2026-22906
Krytyczne

Dane uwierzytelniające użytkowników są przechowywane z użyciem szyfrowania AES‑ECB z twardo zakodowanym kluczem. Nieautoryzowany zdalny atakujący, który uzyska plik konfiguracyjny, może odszyfrować i odzyskać hasła oraz nazwy użytkowników, zwłaszcza w połączeniu z obejściem uwierzytelniania.

CVE-2026-22904
Krytyczne

Nieprawidłowe zarządzanie długością podczas analizowania wielu pól cookie (w tym TRACKID) umożliwia nieautoryzowanemu zdalnemu atakującemu wysyłanie zbyt dużych wartości cookie, co prowadzi do przepełnienia bufora stosu. Może to skutkować awarią usługi oraz potencjalnym zdalnym wykonaniem kodu.

CVE-2026-22903
Krytyczne

Podatność CVE-2026-22903 dotyczy zmodyfikowanego serwera lighttpd, który nie chroni przed zbyt długimi ciasteczkami SESSIONID. Atakujący zdalnie, bez uwierzytelnienia, może wysłać odpowiednio skonstruowane żądanie HTTP, co prowadzi do przepełnienia bufora stosu i awarii serwera.

CVE-2026-1868
Krytyczne

GitLab naprawił podatność w komponencie Duo Workflow Service w bramie AI GitLab, która dotyczyła wszystkich wersji bramy AI od 18.1.6, 18.2.6, 18.3.1 do 18.6.1, 18.7.0 i 18.8.0. Podatność ta umożliwiała niebezpieczne rozszerzenie szablonów danych dostarczonych przez użytkowników, co mogło prowadzić do odmowy usługi lub wykonania kodu na bramie.

CVE-2026-1615
KrytyczneEPSS 60%

Biblioteka jsonpath przed wersją 1.3.0 jest podatna na zdalne wykonanie kodu (RCE) w środowisku Node.js oraz na ataki XSS w przeglądarce. Podatność wynika z niebezpiecznego użycia modułu static-eval do przetwarzania wyrażeń JSON Path, co pozwala atakującemu na wstrzyknięcie dowolnego kodu JavaScript. Dotyczy to wszystkich metod oceniających ścieżki JSON, takich jak .query, .nodes, .paths, .value, .parent i .apply.

CVE-2025-66606
Krytyczne

Wykryto podatność w FAST/TOOLS dostarczonym przez firmę Yokogawa Electric Corporation. Produkt nieprawidłowo koduje adresy URL, co pozwala atakującemu na manipulację stronami internetowymi lub wykonywanie złośliwych skryptów.

CVE-2025-66603
Krytyczne

Wykryto podatność w FAST/TOOLS dostarczanym przez Yokogawa Electric Corporation. Serwer webowy akceptuje metodę OPTIONS, co może być wykorzystane przez atakującego do przeprowadzenia innych ataków.

CVE-2025-66602
Krytyczne

Wykryto podatność w FAST/TOOLS dostarczanym przez firmę Yokogawa Electric Corporation. Serwer WWW akceptuje dostęp za pomocą adresu IP, co może umożliwić atak robaka, który losowo przeszukuje adresy IP w sieci.

CVE-2025-15027
Krytyczne

Wtyczka JAY Login & Register dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do 2.6.03 włącznie. Problem wynika z możliwości aktualizacji dowolnych metadanych użytkownika przez funkcję 'jay_login_register_ajax_create_final_user'.

PoprzedniaStrona 176 z 561Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS