Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-53488
Wysokie

Wtyczka CRI w containerd przed wersjami 1.7.33, 2.3.2, 2.2.5, 2.1.9 i 2.0.10 propaguje etykiety z konfiguracji obrazu (instrukcja LABEL w Dockerfile) do kontenera bez walidacji. Może to umożliwić wykonanie dowolnego polecenia na hoście przez wtyczkę, która wykorzystuje etykiety kontenerów do pewnych operacji.

CVE-2026-54592
Wysokie

W bibliotece Oj (Optimized JSON) dla języka Ruby wykryto podatność na odmowę usługi (DoS). Funkcja Oj::Doc#each_child przy rekurencyjnym przetwarzaniu głęboko zagnieżdżonego dokumentu JSON przepełnia bufor stosu o stałym rozmiarze, co powoduje awarię procesu. Problem został naprawiony w wersji 3.17.3.

CVE-2026-57995
Wysokie

phpMyFAQ przed wersją 4.1.5 zawiera podatność eskalacji uprawnień w metodzie GroupController::updatePermissions, która umożliwia administratorom z uprawnieniami GROUP_EDIT nadawanie grupom dowolnych praw bez weryfikacji, czy sami je posiadają. Delegowany administrator może wykorzystać tę lukę, przypisując grupie, do której należy, wysokowartościowe uprawnienia, dziedzicząc je i eskalując swoje uprawnienia do pełnej kontroli administracyjnej.

CVE-2026-56320
Wysokie

Podatność w Capgo przed wersją 12.128.2 w punkcie końcowym POST /private/create_device pozwala uwierzytelnionemu atakującemu na tworzenie rekordów urządzeń dla aplikacji przy użyciu identyfikatora organizacji innego niż właściciel aplikacji. Brak walidacji parametru org_id powoduje obejście granicy autoryzacji między organizacjami.

CVE-2026-56300
Wysokie

Podatność w Capgo przed wersją 12.128.2 umożliwia nieuwierzytelnionym atakującym wykorzystanie funkcji RPC get_user_id i get_org_perm_for_apikey do sprawdzania poprawności kluczy API oraz ujawniania identyfikatorów UUID użytkowników. Dzięki publicznemu kluczowi API atakujący mogą weryfikować wyciekłe klucze, enumerować użytkowników i aplikacje oraz określać poziomy uprawnień.

CVE-2026-56286
Wysokie

Podatność w Capgo przed wersją 12.128.2 umożliwia ominięcie uwierzytelniania w punkcie końcowym usuwania konta, pozwalając na usunięcie konta bez ponownego uwierzytelnienia hasłem lub dodatkowej weryfikacji. Atakujący mogą wykorzystać przejęcie sesji, ataki CSRF lub manipulację parametrami, co prowadzi do nieautoryzowanego usunięcia konta, utraty danych i odmowy usługi.

CVE-2026-56264
Wysokie

Crawl4AI przed wersją 0.8.7 zawiera podatność na wykonanie dowolnego kodu JavaScript w punkcie końcowym /execute_js serwera API Docker. Atakujący może wykonać dowolny JavaScript w kontekście przeglądarki serwera z wyłączonymi zabezpieczeniami sieciowymi, co umożliwia ataki SSRF na wewnętrzne usługi.

CVE-2026-56249
Wysokie

Podatność w Capgo przed wersją 12.128.2 umożliwia ominięcie autoryzacji w punkcie końcowym tworzenia kanałów. Uwierzytelnieni użytkownicy mogą nadpisywać istniejące kanały, ponownie wykorzystując ich nazwy.

CVE-2026-56247
Wysokie

Podatność w Capgo przed wersją 12.128.2 umożliwia administratorom organizacji przypisywanie ról RBAC o zasięgu organizacyjnym na poziomie aplikacji bez walidacji zgodności zakresu, w tym dla oczekujących zaproszeń. Atakujący mogą wstępnie utworzyć nieprawidłowe powiązania o wysokich uprawnieniach, które przetrwają akceptację zaproszenia, umożliwiając użytkownikom o niskich uprawnieniach wykonywanie nieautoryzowanych uprzywilejowanych działań w aplikacji.

CVE-2026-56233
Wysokie

Capgo przed wersją 12.128.2 zawiera podatność na przechodzenie ścieżek w proxy przesyłania plików, która umożliwia uwierzytelnionym użytkownikom z uprawnieniami do budowania ominięcie ograniczeń przesyłania. Atakujący mogą dołączać sekwencje przechodzenia do ścieżki przesyłania, które są normalizowane przez parser URL WHATWG, co umożliwia dostęp do wewnętrznych punktów końcowych administracyjnych z uprzywilejowanym nagłówkiem BUILDER_API_KEY i prowadzi do eskalacji uprawnień po stronie serwera.

CVE-2026-56230
Wysokie

Podatność w Capgo przed wersją 12.128.2 polega na nieprawidłowej autoryzacji na poziomie obiektu w funkcji middlewareKey(). Funkcja ta akceptuje nagłówek x-limited-key-id kontrolowany przez klienta bez weryfikacji własności, co pozwala uwierzytelnionym użytkownikom na przejmowanie kluczy ograniczonych z innych dzierżawców. Atakujący może podać identyfikator klucza innego dzierżawcy, aby ominąć kontrole autoryzacji i uzyskać dostęp do nieautoryzowanych zasobów między dzierżawcami w wielu punktach końcowych API.

CVE-2026-56219
Wysokie

Podatność w Capgo przed wersją 12.128.2 umożliwia nieuwierzytelnionym atakującym ominięcie autoryzacji w funkcji public.get_org_user_access_rbac. Poprzez niewłaściwe porównanie wartości NULL w bramce autoryzacji, atakujący mogą ujawnić powiązania ról RBAC oraz adresy e-mail członków organizacji, wykorzystując jedynie publiczny klucz API.

CVE-2026-54673
Wysokie

Podatność w bibliotece electron-updater przed wersją 9.7.0 umożliwia wyciek nagłówków uwierzytelniających podczas przekierowań HTTP. Mechanizm obsługi przekierowań usuwał jedynie nagłówek 'authorization' zapisany małymi literami, pomijając inne wrażliwe nagłówki, takie jak 'PRIVATE-TOKEN' czy 'Authorization' z mieszaną wielkością liter, co mogło prowadzić do ujawnienia danych uwierzytelniających.

CVE-2026-54672
Wysokie

Podatność w electron-updater przed wersją 26.15.0 pozwala na dodanie bieżącego katalogu roboczego do ścieżki wyszukiwania bibliotek dynamicznych przez pusty komponent ścieżki w zmiennej LD_LIBRARY_PATH. Atakujący może umieścić złośliwą bibliotekę współdzieloną w katalogu uruchomienia AppImage, co prowadzi do wykonania dowolnego kodu.

CVE-2026-52198
Wysokie

W urządzeniu UTT nv518G w wersji oprogramowania nv518GV3v3.2.7-210919-161313 wykryto podatność na przepełnienie bufora. Zdalny atakujący może wykorzystać komponent gohead/sub_425994, aby spowodować odmowę usługi (DoS).

CVE-2026-52197
Wysokie

Podatność w routerze UTT nv518G w wersji oprogramowania nv518GV3v3.2.7-210919-161313 umożliwia zdalnemu atakującemu spowodowanie odmowy usługi (DoS) poprzez komponent gohead/sub_44af70.

CVE-2026-52195
Wysokie

W urządzeniu UTT nv518G w wersji oprogramowania nv518GV3v3.2.7-210919-161313 wykryto podatność na przepełnienie bufora. Zdalny atakujący może wykorzystać tę lukę w komponencie gohead/sub_472f08, powodując odmowę usługi (DoS).

CVE-2026-52193
Wysokie

W urządzeniu UTT nv518G w wersji oprogramowania nv518GV3v3.2.7-210919-161313 wykryto podatność na przepełnienie bufora. Zdalny atakujący może wykorzystać komponent gohead/sub_447CAC, aby spowodować odmowę usługi (DoS).

CVE-2026-14151
Wysokie

Nieprawidłowa implementacja w funkcji AI w przeglądarce Google Chrome przed wersją 150.0.7871.47 umożliwiała zdalnemu atakującemu, który skompromitował proces renderowania, potencjalne opuszczenie piaskownicy (sandbox escape) za pomocą spreparowanej strony HTML. Podatność ma niski priorytet bezpieczeństwa Chromium.

CVE-2026-14149
Wysokie

Podatność Use-After-Free w komponencie Audio w przeglądarce Google Chrome na systemie Linux przed wersją 150.0.7871.47 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu za pomocą spreparowanej strony HTML. Problem został sklasyfikowany jako niskiego ryzyka (Low) przez zespół bezpieczeństwa Chromium.

PoprzedniaStrona 19 z 3322Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS