Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.13)

CVE-2025-15063
Krytyczne

Podatność CVE-2025-15063 dotyczy serwera Ollama MCP i pozwala zdalnym atakującym na wykonanie dowolnego kodu na zainfekowanych instalacjach. Problem wynika z braku odpowiedniej walidacji ciągu dostarczonego przez użytkownika przed jego użyciem do wykonania wywołania systemowego.

CVE-2025-15061
Krytyczne

Podatność w serwerze Framelink Figma MCP związana z metodą fetchWithRetry umożliwia zdalnym atakującym wykonanie dowolnego kodu na zainfekowanych instalacjach. Problem wynika z braku odpowiedniej walidacji ciągu dostarczonego przez użytkownika przed jego użyciem do wykonania wywołania systemowego.

CVE-2026-24304
Krytyczne

Nieprawidłowa kontrola dostępu w Azure Resource Manager umożliwia autoryzowanemu atakującemu podniesienie uprawnień w sieci.

CVE-2026-24132
Krytyczne

Orval generuje typowo bezpieczne klienty JS (TypeScript) z dowolnej ważnej specyfikacji OpenAPI v3 lub Swagger v2. Wersje 7.19.0 i poniżej oraz 8.0.0-rc.0 do 8.0.2 pozwalają na wstrzykiwanie dowolnego kodu TypeScript/JavaScript do generowanych plików mockowych poprzez właściwości schematu z użyciem słowa kluczowego const.

CVE-2026-24307
Krytyczne

Nieprawidłowa walidacja określonego typu danych wejściowych w M365 Copilot umożliwia nieautoryzowanemu atakującemu ujawnienie informacji przez sieć.

CVE-2026-24306
Krytyczne

Nieprawidłowa kontrola dostępu w Azure Front Door (AFD) umożliwia nieautoryzowanemu atakującemu podniesienie uprawnień w sieci.

CVE-2026-24305
Krytyczne

Podatność w Azure Entra ID umożliwia eskalację uprawnień, co może prowadzić do nieautoryzowanego dostępu do zasobów. Atakujący może wykorzystać tę lukę, aby uzyskać wyższe uprawnienia niż te, które powinny być mu przyznane.

CVE-2026-24124
Krytyczne

Dragonfly to system dystrybucji plików i przyspieszania obrazów oparty na P2P. W wersjach 2.4.1-rc.0 i poniżej, punkty końcowe API Job (/api/v1/jobs) nie mają middleware autoryzacji JWT oraz kontroli autoryzacji RBAC, co pozwala nieautoryzowanym użytkownikom na przeglądanie, aktualizowanie i usuwanie zadań.

CVE-2026-21264
Krytyczne

W Microsoft Account występuje niewłaściwe neutralizowanie danych wejściowych podczas generowania stron internetowych, co prowadzi do podatności na ataki typu 'cross-site scripting'. Taki atak umożliwia nieautoryzowanemu napastnikowi przeprowadzenie oszustwa w sieci.

CVE-2025-54816
Krytyczne

Podatność występuje, gdy punkt końcowy WebSocket nie egzekwuje odpowiednich mechanizmów uwierzytelniania, co pozwala nieautoryzowanym użytkownikom na nawiązywanie połączeń. Może to prowadzić do nieautoryzowanego dostępu do wrażliwych danych lub wykonywania nieautoryzowanych działań.

CVE-2026-24058
Krytyczne

Soft Serve to samodzielny serwer Git do obsługi z linii poleceń. Wersje 0.11.2 i wcześniejsze mają krytyczną podatność na obejście uwierzytelniania, która pozwala atakującemu na podszycie się pod dowolnego użytkownika (w tym administratora) poprzez 'ofertę' publicznego klucza ofiary podczas handshake'u SSH przed uwierzytelnieniem własnym ważnym kluczem.

CVE-2026-20912
Krytyczne

Podatność w Gitea umożliwia nieprawidłowe powiązanie załączników z wydaniami (releases) z powodu braku walidacji własności repozytorium. Załącznik przesłany do prywatnego repozytorium może zostać powiązany z wydaniem w innym, publicznym repozytorium, co prowadzi do nieautoryzowanego dostępu.

CVE-2026-20897
Krytyczne

Podatność w Gitea umożliwia użytkownikowi z prawem zapisu do repozytorium usunięcie blokad LFS należących do innych repozytoriów. Problem wynika z nieprawidłowej walidacji własności repozytorium podczas usuwania blokad Git LFS.

CVE-2026-20750
Krytyczne

Gitea nieprawidłowo weryfikuje własność projektu w operacjach na projektach organizacji. Użytkownik z uprawnieniami do zapisu w projektach jednej organizacji może modyfikować projekty należące do innej organizacji.

CVE-2025-56590
Krytyczne

W funkcji InsertFromURL() zestawu SDK Apryse HTML2PDF do wersji 11.10 wykryto podatność, która może pozwolić atakującemu na wykonanie dowolnych poleceń systemu operacyjnego na lokalnym serwerze.

CVE-2025-69828
Krytyczne

W podatności CVE-2025-69828 w TMS Global Software TMS Management Console w wersji 6.3.7.27386.20250818 występuje luka związana z przesyłaniem plików. Umożliwia ona zdalnemu atakującemu wykonanie dowolnego kodu poprzez przesłanie logo w sekcji /Customer/AddEdit.

CVE-2025-69312
Krytyczne

Podatność CVE-2025-69312 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem wtyczki Xpro Elementor Addons, co umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji wtyczki od n/a do 1.4.19.1.

CVE-2025-69101
Krytyczne

Podatność CVE-2025-69101 dotyczy systemu AmentoTech Workreap Core, umożliwiając obejście uwierzytelniania poprzez alternatywną ścieżkę lub kanał. Problem ten występuje w wersjach od n/a do 3.4.1 włącznie.

CVE-2025-69079
Krytyczne

Podatność CVE-2025-69079 dotyczy deserializacji niezaufanych danych w wtyczce ThemeREX Sound | Sklep Muzyczny Online, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji od n/a do 1.6.9 włącznie.

CVE-2025-69052
Krytyczne

Wtyczka FmeAddons do rejestracji i logowania za pomocą numeru telefonu komórkowego dla WooCommerce ma lukę w autoryzacji, która pozwala na wykorzystanie nieprawidłowo skonfigurowanych poziomów kontroli dostępu. Problem dotyczy wersji od n/a do 1.3.1.

PoprzedniaStrona 187 z 560Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS