Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-10688
Średnie

Wykryto podatność w ahujasid blender-mcp do wersji 7636d13bded82eca58eb93c3f4cd8708dfdfbe8b. Problem dotyczy funkcji execute_blender_code w pliku /src/blender_mcp/server.py, gdzie manipulacja argumentem code prowadzi do wstrzyknięcia kodu. Atak może być przeprowadzony zdalnie.

CVE-2026-10662
Średnie

Wykryto podatność w ahujasid blender-mcp do wersji 7636d13bded82eca58eb93c3f4cd8708dfdfbe8b. Problem dotyczy funkcji requests.get w pliku src/blender_mcp/server.py, gdzie manipulacja argumentem zip_file_url prowadzi do ataku typu server-side request forgery.

CVE-2026-35212
Średnie

OpenCTI to platforma open source do zarządzania wiedzą o zagrożeniach cybernetycznych. Wersje przed 7.260227.0 są podatne na ataki XSS w renderowaniu danych z ciała wiadomości e-mail, ponieważ pole to nie jest odpowiednio oczyszczane. Wymaga interakcji użytkownika, ale może być wykorzystane przez osoby dzielące się stix lub innymi narzędziami do wczytywania danych.

CVE-2026-10661
Średnie

Wykryto podatność w ahujasid blender-mcp do wersji 7636d13bded82eca58eb93c3f4cd8708dfdfbe8b. Problem dotyczy funkcji Open w pliku src/blender_mcp/server.py, gdzie manipulacja argumentem input_image_url prowadzi do możliwości wstrzyknięcia kodu. Możliwe jest zdalne wykorzystanie tej podatności.

CVE-2026-10650
Średnie

W bibliotece warmcat libwebsockets do wersji 4.5.8 znaleziono lukę, która dotyczy funkcji lws_ssh_parse_plaintext w pliku plugins/protocol_lws_ssh_base/sshd.c. Manipulacja argumentem msg_len może prowadzić do nadmiernego zużycia zasobów, a atak może być przeprowadzony zdalnie.

CVE-2025-15653
Średnie

Stacje anestezjologiczne Dräger Zeus Infinity Empowered (Zeus IE) oraz Zeus RS C500 zawierają lokalną podatność bezpieczeństwa, która umożliwia nieautoryzowanym osobom z dostępem fizycznym do kompromitacji integralności oprogramowania poprzez manipulację interfejsem USB. Atakujący mogą wykorzystać niechronione interfejsy USB do zakłócania funkcji terapeutycznych oraz manipulacji danymi przetwarzanymi przez urządzenie.

CVE-2026-49144
Średnie

BrowserStack Runner w wersji do 0.9.5 zawiera podatność typu path traversal w domyślnym handlerze HTTP w pliku lib/server.js, która pozwala nieautoryzowanym atakującym na odczyt dowolnych plików. Atakujący mogą wykorzystać nieautoryzowany serwer HTTP, aby przejść poza katalog główny projektu i uzyskać dostęp do wrażliwych plików.

CVE-2026-45289
Średnie

CloudburstMC Protocol to biblioteka protokołów dla Minecraft Bedrock Edition. W wersjach przed 3.0.0.Beta12-20260420.182526-15 występuje częściowy brak walidacji tokenów autoryzacyjnych typu FULL, co może prowadzić do nieautoryzowanego dostępu.

CVE-2026-41569
Średnie

W wersjach przed 2026.2.3, dostawca WS-Federation w authentik weryfikuje parametr wreply użytkownika za pomocą prostego sprawdzenia prefiksu, zamiast właściwego parsowania URL. Atakujący może stworzyć link logowania, który umożliwia podanie wartości wreply z innego źródła, co prowadzi do wysłania odpowiedzi logowania WS-Federation do infrastruktury kontrolowanej przez atakującego.

CVE-2026-10624
Średnie

W systemie SourceCodester Human Resource Management w wersji 1.0 odkryto podatność w nieznanej funkcjonalności pliku /detailview.php, dotyczącej strony widoku pracownika. Manipulacja argumentem employeeid prowadzi do niewłaściwej kontroli identyfikatorów zasobów.

CVE-2026-5074
Średnie

Wtyczka ARMember Premium dla WordPressa jest podatna na atak typu SQL Injection poprzez parametr 'sSortDir_0' w akcji AJAX `get_private_content_data` we wszystkich wersjach do i włącznie z 7.3.1. Problem wynika z niewystarczającej sanitizacji parametru dostarczonego przez użytkownika, który jest bezpośrednio łączony w klauzuli ORDER BY zapytania SQL bez sprawdzenia białej listy.

CVE-2026-48682
Średnie

FastNetMon Community Edition w wersji do 1.2.9 zawiera podatność na odczyt poza granicami w parserze pakietów IPv4. Problem występuje w src/simple_packet_parser_ng.cpp, gdzie po walidacji długości pakietu, wskaźnik lokalny jest przesuwany bez odpowiedniej walidacji wartości IHL, co może prowadzić do nadmiernego odczytu pamięci.

CVE-2026-40181
Średnie

React Router, używany w aplikacjach React, ma podatność na otwarte przekierowania w wersjach od 7.0.0 do 7.14.0 oraz od 6.7.0 do 6.30.3. Przekazywanie określonych URL-i do funkcji przekierowania może prowadzić do nieautoryzowanego przekierowania na zewnętrzne domeny, jeśli wartości ścieżek zaczynają się od //. Problem ten nie dotyczy aplikacji korzystających z trybu deklaratywnego (<BrowserRouter>).

CVE-2026-35049
Średnie

Wire-ios to klient iOS dla aplikacji do bezpiecznej wymiany wiadomości Wire. Przed wersją 4.16.0, otrzymanie spreparowanej złośliwej wiadomości z zewnętrznego źródła, zawierającej zaszyfrowany ładunek krótszy niż 16 bajtów, powodowało awarię aplikacji. Aplikacja wchodzi w pętlę awarii po ponownym uruchomieniu, co uniemożliwia jej otwarcie bez wyczyszczenia lokalnego stanu.

CVE-2026-34993
Średnie

W bibliotece AIOHTTP przed wersją 3.14.0 wykryto podatność umożliwiającą zdalne wykonanie kodu podczas ładowania niezaufanych danych za pomocą funkcji ``CookieJar.load()``. Problem dotyczy głównie aplikacji, które pozwalają na wczytywanie plików kontrolowanych przez atakującego.

CVE-2026-33553
Średnie

CFEngine Enterprise w wersjach 3.24.3 przed 3.24.4 oraz 3.27.0 przed 3.27.1 zawiera podatność na ataki XSS (Cross-Site Scripting). Umożliwia to atakującym wstrzykiwanie złośliwego kodu JavaScript do aplikacji.

CVE-2026-30586
Średnie

Podatność typu Cross Site Scripting w aplikacji usememos Memos w wersji 0.26.0 umożliwia zdalnemu atakującemu uzyskanie wrażliwych informacji poprzez strony SANITIZE_SCHEMA, komponent renderowania notatek oraz widok notatek publicznych/prywatnych.

CVE-2026-10702
Średnie

W silniku JavaScript przeglądarki Firefox występuje błąd nieprawidłowej kompilacji JIT, który może prowadzić do nieoczekiwanego zachowania lub potencjalnego naruszenia bezpieczeństwa. Podatność została naprawiona w wersji Firefox 151.0.3.

CVE-2026-10616
Średnie

Zidentyfikowano słabość w nextlevelbuilder GoClaw do wersji 3.11.3. Problem dotyczy funkcji TeamTasksTool.executeComplete w pliku internal/tools/team_tasks_lifecycle.go, co może prowadzić do braku autoryzacji podczas manipulacji.

CVE-2026-10584
Średnie

Serwer proxy w Graph Explorer przed wersją 3.0.1 przechodzi na HTTP, gdy brakuje plików certyfikatów, co może umożliwić zdalnym atakującym uzyskanie poufnych informacji poprzez przechwytywanie żądań, które miały być wysyłane przez HTTPS.

PoprzedniaStrona 186 z 560Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS