Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.13)

CVE-2026-53131
Krytyczne

W jądrze Linux wykryto podatność w podsystemie netfilter, gdzie funkcje takie jak `ip6t_eui64`, `xt_mac` oraz typy zestawów ipset (`bitmap:ip,mac`, `hash:ip,mac`, `hash:mac`) i `nf_log_syslog` uzyskiwały dostęp do nagłówka Ethernet (`eth_hdr(skb)`) bez uprzedniego sprawdzenia, czy ramka jest powiązana z urządzeniem Ethernet, czy nagłówek MAC został ustawiony i czy ma odpowiednią długość. Brak tych walidacji mógł prowadzić do błędów lub potencjalnego naruszenia bezpieczeństwa.

CVE-2026-46752
Krytyczne

Podatność w bibliotece cjson w Apache Kvrocks powodująca przepełnienie HEAP w Lua. Dotyczy wersji od 2.0.4 do 2.15.0.

CVE-2026-46751
Średnie

W podatności w Apache Kvrocks, która dotyczy wersji od 2.2.0 do 2.15.0, zaleca się aktualizację do wersji 2.16.0, aby naprawić problem.

CVE-2026-45188
Niskie

Podatność typu Relative Path Traversal w Apache Kvrocks umożliwia atakującemu dostęp do plików poza zamierzonym katalogiem. Problem dotyczy wersji od 1.0.0 do 2.15.0.

CVE-2026-41566
Krytyczne

W podatności CVE-2026-41566 występuje niewłaściwe zarządzanie niewystarczającymi uprawnieniami w Apache Kvrocks w wersji 2.8.0. Problem ten został naprawiony w wersji 2.16.0.

CVE-2026-56129
Średnie

Ogólny sterownik dostępu do IO i pamięci dla komputerów PC dostarczony przez TOSHIBA CORPORATION i Dynabook Inc. ujawnia swoje IOCTL z niewystarczającą kontrolą dostępu. Zalogowany użytkownik bez uprawnień administracyjnych może uzyskać dostęp do pamięci fizycznej.

CVE-2026-12937
Wysokie

Wtyczka Tourfic – AI Powered Travel Booking, Hotel Booking & Car Rental dla WordPress jest podatna na ogólną iniekcję SQL poprzez parametr 'post_id' we wszystkich wersjach do 2.22.7 włącznie, z powodu niewystarczającego zabezpieczenia parametru dostarczonego przez użytkownika oraz braku odpowiedniego przygotowania istniejącego zapytania SQL.

CVE-2026-9702
Wysokie

Wtyczka InPost PL dla WordPressa przed wersją 1.9.1 nie weryfikuje, czy żądanie pochodzi od uprawnionego nabywcy, co pozwala nieautoryzowanym atakującym na ciche przekierowanie miejsca dostawy zamówienia WooCommerce.

CVE-2026-5305
Wysokie

Wtyczka Email Address Encoder dla WordPressa przed wersją 1.0.25 oraz wtyczka email-encoder-premium przed wersją 0.3.12 nieprawidłowo obsługują zamianę adresów e-mail, co może umożliwić nieautoryzowanym użytkownikom przeprowadzenie ataków typu Stored XSS.

CVE-2026-12490
Wysokie

Podatność w systemie DNS pozwala na ominięcie wymogu uwierzytelnienia certyfikatem klienta podczas transferu strefy (XFR) z użyciem opcji provide-xfr z parametrem tls-auth-name. Gdy żądanie przychodzi przez TLS na standardowym porcie TLS (a nie na porcie tls-auth) lub przez zwykłe TCP na standardowym porcie, serwer nie wymaga certyfikatu klienta, nawet jeśli reguła provide-xfr go przewiduje.

CVE-2026-12246
Wysokie

W NSD w wersji 4.14.0 wprowadzono błąd, w którym specjalnie spreparowany rekord APL RR z długością adresu (adflength) większą niż dozwolona dla danej rodziny adresów nadpisuje stos podczas zapisywania strefy na dysk, maksymalnie 111 bajtami kontrolowanymi przez atakującego.

CVE-2026-12245
Wysokie

W NSD od wersji 4.13.0 wykryto błąd use-after-free w stercie podczas logowania błędów na połączeniach TLS. Podatność powoduje awarię procesu serwera, którą można łatwo wywołać, wysyłając zapytanie DNS przez połączenie DoT i zamykając połączenie bez odczytania odpowiedzi.

CVE-2026-12244
Wysokie

Podatność w NSD umożliwia atakującemu, który jest serwerem nadrzędnym dla strefy, doprowadzenie do przepełnienia sterty poprzez wysłanie odpowiedzi AXFR zawierającej specjalnie spreparowany rekord SVCB o rozmiarze danych 65512 bajtów. Powoduje to zawinięcie zmiennej typu uint16_t używanej do alokacji pamięci, co prowadzi do zapisu poza przydzielonym buforem.

CVE-2026-10824
Średnie

Wtyczka Masteriyo LMS dla WordPressa w wersjach przed 2.2.1 nie przeprowadza kontroli autoryzacji w kontrolerze API REST dotyczącego postępu kursu, co pozwala nieautoryzowanym użytkownikom na odczyt i trwałe usunięcie zapisów postępu kursu dowolnego użytkownika.

CVE-2026-8330
Średnie

Podatność w GitLab CE/EE umożliwiała zapisywanie wrażliwych informacji do logów aplikacji z powodu niewystarczającego filtrowania w punkcie końcowym API CI/CD. Problem dotyczy wszystkich wersji od 9.3 do 18.11.6, 19.0 do 19.0.3 oraz 19.1 do 19.1.1.

CVE-2026-5952
Średnie

W GitLab CE/EE wykryto podatność polegającą na nieprawidłowej weryfikacji autoryzacji, która w określonych warunkach umożliwia uwierzytelnionemu użytkownikowi z rolą dewelopera ominięcie reguł ochrony pakietów i nadpisanie chronionych metadanych pakietu Maven.

CVE-2026-5796
Średnie

W GitLab CE/EE wykryto podatność w funkcji pakietów grupowych, która umożliwia uwierzytelnionemu użytkownikowi z uprawnieniami Reportera w grupie przeglądanie metadanych pakietów z projektów, w których wyłączono rejestr pakietów. Problem wynika z nieprawidłowej weryfikacji autoryzacji i dotyczy wersji od 13.6 do 18.11.6, 19.0 do 19.0.3 oraz 19.1 do 19.1.1.

CVE-2026-5309
Średnie

W GitLab EE wykryto podatność, która w określonych warunkach umożliwiała uwierzytelnionemu użytkownikowi nieautoryzowany odczyt lub modyfikację ustawień zasad czyszczenia rejestru wirtualnego innej grupy. Problem dotyczy wszystkich wersji od 18.6 do 18.11.6, 19.0 do 19.0.3 oraz 19.1 do 19.1.1.

CVE-2026-3176
Niskie

W GitLab EE wykryto podatność, która w określonych warunkach umożliwiała uwierzytelnionemu użytkownikowi z ograniczonymi uprawnieniami dostęp do informacji o projekcie z powodu niewystarczających kontroli autoryzacji. Problem dotyczy wszystkich wersji od 18.6 do 18.11.6, 19.0 do 19.0.3 oraz 19.1 do 19.1.1.

CVE-2026-2238
Średnie

W GitLab CE/EE wykryto podatność, która w określonych warunkach umożliwiała nieuwierzytelnionemu użytkownikowi przeglądanie poufnych odnośników do zgłoszeń (issue references) w publicznych projektach. Problem wynika z nieprawidłowych kontroli autoryzacji i dotyczy wersji od 17.5 do 18.11.6, 19.0 do 19.0.3 oraz 19.1 do 19.1.1.

PoprzedniaStrona 185 z 4549Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS