Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-45680
Średnie

OpenTelemetry eBPF Instrumentation przed wersją 0.9.0 miało problem z wydajnością, gdzie OBI odtwarzało trafienia probe BPF w obserwacjach histogramu, co prowadziło do nadmiernego obciążenia CPU na zajętych systemach. Problem ten został naprawiony w wersji 0.9.0.

CVE-2026-45679
Średnie

OpenTelemetry eBPF Instrumentation przed wersją 0.9.0 eksportuje surowe komunikaty o błędach Redis jako wiadomości statusu span. Może to prowadzić do wycieku tokenów, danych osobowych lub innych poufnych informacji do systemów telemetrycznych.

CVE-2026-45676
Średnie

OpenTelemetry eBPF Instrumentation przed wersją 0.9.0 zawierał parser ELF, który ufał wskaźnikom sekcji oraz przesunięciom w plikach wykonywalnych. Złośliwie skonstruowany lokalny plik ELF mógł spowodować dereferencję nieprawidłowych wskaźników sekcji, co prowadziło do paniki agenta podczas określania języka procesu.

CVE-2026-45554
Średnie

NiceGUI to framework UI oparty na Pythonie. W wersjach przed 3.12.0, dwa endpointy FastAPI obsługujące statyczne zasoby per-komponentowe akceptują parametr sub-ścieżki, który może prowadzić do katalogu zamiast pliku, co skutkuje nieobsłużonym błędem RuntimeError.

CVE-2026-45080
Średnie

Klaw to narzędzie do zarządzania i nadzorowania tematów Apache Kafka. W wersjach przed 2.10.4 występował problem z niewłaściwą kontrolą dostępu, który umożliwiał ujawnienie hasha hasła. Problem ten został naprawiony w wersji 2.10.4.

CVE-2026-38978
Średnie

W wersji 4.1.1 oprogramowania Transmission zidentyfikowano podatność typu clickjacking w interfejsie WebUI oraz w ścieżkach odpowiedzi RPC. Atakujący może wykorzystać tę lukę do oszukania użytkowników i zmuszenia ich do wykonania niezamierzonych działań.

CVE-2026-35718
Średnie

Podatność polegająca na przechodzeniu do dowolnych ścieżek w punkcie końcowym /admin/downloadMedias.cgi w oprogramowaniu sprzętowym FD8136-VVTK firmy VIVOTEK INC (wersja 0300a) umożliwia uwierzytelnionym atakującym odczyt dowolnego pliku na urządzeniu poprzez wysłanie spreparowanego żądania.

CVE-2026-35716
Średnie

W oprogramowaniu sprzętowym VIVOTEK FD8136 (wersja FD8136-VVTK-0300a) w pliku binarnym motion_privacy.cgi występuje przepełnienie bufora stosu. Uwierzytelniony atakujący zdalny może wysłać żądanie POST z nadmiernie długim parametrem n1 do jednego z trzech punktów końcowych, co prowadzi do wykonania dowolnego kodu z uprawnieniami roota.

CVE-2026-34460
Średnie

NamelessMC to oprogramowanie do tworzenia stron internetowych dla serwerów Minecraft. W wersjach 2.2.4 i wcześniejszych obsługa callbacków OAuth nie weryfikuje parametru state po stronie serwera przed wymianą kodu autoryzacyjnego, co umożliwia atakującemu przechwycenie ważnego URL callbacka OAuth dla własnego konta.

CVE-2026-49782
Średnie

Podatność związana z brakiem autoryzacji w Elementor Website Builder umożliwia wykorzystanie nieprawidłowo skonfigurowanych poziomów kontroli dostępu. Dotyczy to wersji od n/a do 4.1.0.

CVE-2026-43965
Średnie

Podatność typu path traversal w zarządzaniu zależnościami Gleam pozwala na usunięcie dowolnego katalogu poprzez złośliwą zawartość pliku build/packages/packages.toml. Klucze pakietów odczytywane z tego pliku są przekazywane bez walidacji, co umożliwia atakującemu manipulację ścieżkami systemowymi.

CVE-2026-42795
Średnie

Podatność związana z podążaniem za symlinkami w eksporcie pakietu Hex w Gleam umożliwia osadzenie plików spoza katalogu projektu w wygenerowanym archiwum tarball. Funkcje zbierające pliki nie weryfikują, czy docelowa ścieżka pozostaje w obrębie katalogu projektu, co pozwala na osadzenie zawartości symlinków.

CVE-2026-41918
Średnie

Zidentyfikowano podatność w RUGGEDCOM RST2428P (6GK6242-6PA00) we wszystkich wersjach poniżej V4.0. Aplikacje dotknięte tą podatnością przechowują w pamięci podręcznej przeglądarki wrażliwe informacje, gdy uwierzytelniony użytkownik modyfikuje określone konfiguracje.

CVE-2026-35717
Średnie

W oprogramowaniu VIVOTEK FD8136 (wersja FD8136-VVTK-0300a) w pliku export_language.cgi występuje przepełnienie bufora stosu. Uwierzytelniony atakujący może wysłać spreparowane żądanie POST do endpointu /cgi-bin/admin/export_language.cgi, przekazując kontrolowaną wartość Content-Length do funkcji fread(), co prowadzi do nadpisania rejestru powrotu i wykonania dowolnego kodu z uprawnieniami roota.

CVE-2026-32685
Średnie

Podatność typu path traversal w obsłudze niestandardowych stron dokumentacji w Gleam pozwala na odczyt i zapis plików poza zamierzonym katalogiem wyjściowym dokumentacji. Wprowadzenie wpisów z gleam.toml do ścieżek systemowych nie jest wystarczająco walidowane, co umożliwia atakującym manipulację plikami.

CVE-2026-32250
Średnie

W oprogramowaniu NamelessMC dla serwerów Minecraft odkryto podatność typu Reflected Cross-Site Scripting (XSS) w wersji 2.2.4, dotyczącą parametru id w punkcie końcowym `/index.php?route=/queries/user/`. Aplikacja odzwierciedla dane wejściowe użytkownika z parametru id w odpowiedzi HTML bez odpowiedniej sanitizacji lub kodowania wyjścia.

CVE-2026-28116
Średnie

Podatność CVE-2026-28116 dotyczy niewłaściwej neutralizacji danych wejściowych podczas generowania stron internetowych w aplikacji Emilia Projects Progress Planner, co pozwala na ataki typu Stored XSS. Problem ten dotyczy wersji Progress Planner od n/a do 1.9.0.

CVE-2026-27351
Średnie

W systemie Crew HRM występuje luka związana z brakiem autoryzacji, która pozwala na wykorzystanie nieprawidłowo skonfigurowanych poziomów kontroli dostępu. Problem ten dotyczy wersji od n/a do 1.2.2.

CVE-2019-25717
Średnie

Podatność w monitorach pacjenta Dräger Infinity Delta, Delta XL i Kappa umożliwia nieuwierzytelnionym atakującym dostęp do plików dziennika przez sieć. Atakujący mogą uzyskać informacje o wewnętrznej konfiguracji urządzenia, lokalizacji oraz szczegóły konfiguracji sieci przewodowej.

CVE-2026-8993
Średnie

Komponent D.Launcher 2 w ekosystemie klienta eID na Słowacji zawiera podatność na niewłaściwe przetwarzanie handlerów URL. Aplikacja rejestruje wiele niestandardowych handlerów URL, które mogą być wykorzystane do inicjowania pełnej autoryzacji NTLM lub połączenia SMB z infrastrukturą atakującego oraz do przeprowadzania ataków SSRF.

PoprzedniaStrona 188 z 560Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS