Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-45284
Średnie

Nextcloud to platforma do współpracy nad treścią typu open source. W wersjach od 1.3.6 do przed 8.4.0 wystąpił problem z niewłaściwą weryfikacją, który pozwalał użytkownikom z LDAP na autoryzację w systemie OIDC nawet po ich usunięciu.

CVE-2026-45283
Średnie

W Nextcloud Server w wersjach od 32.0.0 do przed 32.0.2 oraz od 33.0.0 do przed 33.0.1, aplikacja files_lock nieprawidłowo weryfikowała właścicieli plików podczas przetwarzania żądań blokowania i odblokowywania DAV. Użytkownik z autoryzacją mógł blokować lub odblokowywać pliki należące do innych użytkowników, celując w ich absolutne ścieżki WebDAV.

CVE-2026-45282
Średnie

Nextcloud to otwarta platforma do współpracy nad treścią. W wersjach serwera Nextcloud od 32.0.0 do przed 32.0.9 oraz od 33.0.0 do przed 33.0.3, uwierzytelniony atakujący może uzyskać dostęp do załączników udostępnionych linków, znając token udostępnienia, omijając zabezpieczenia hasłem lub ograniczenia pobierania.

CVE-2026-45279
Średnie

Nextcloud to otwartoźródłowa platforma do współpracy nad treścią. W wersjach serwera Nextcloud od 31.0.0 do przed 31.0.14 oraz od 32.0.0 do przed 32.0.4, użytkownicy niebędący administratorami mogą w niektórych przypadkach kopiować dowolne pliki do własnego katalogu Nextcloud poprzez atak typu path traversal, jeśli w konfiguracji użyto {lang}.

CVE-2026-45275
Średnie

W aplikacji Approval w Nextcloud przed wersją 2.7.2 występuje podatność na eskalację uprawnień, która pozwala użytkownikowi bez uprawnień do udostępniania wymusić na systemie udostępnienie pliku osobom zatwierdzającym. To prowadzi do obejścia autoryzacji i eskalacji uprawnień, umożliwiając nieautoryzowane udostępnianie zastrzeżonych plików.

CVE-2026-43625
Średnie

CodexBar w wersjach przed 0.32.0 zawiera podatność na wyciek ciasteczek sesyjnych, która umożliwia atakującym przechwycenie importowanych ciasteczek sesyjnych przeglądarki. Wykorzystując niewłaściwe zarządzanie przekierowaniami dla sesji dostawców Amp i Ollama, atakujący mogą przechwycić żądania HTTP w postaci niezaszyfrowanej.

CVE-2026-40990
Średnie

Występuje błąd OOM (Out of Memory) podczas próby dodawania nieskończonej liczby funkcji do Rejestru Funkcji w produktach Spring. Dotyczy to wersji Spring Cloud Function przed określonymi wersjami w gałęziach 3.2.x, 4.1.x, 4.2.x, 4.3.x oraz 5.0.x.

CVE-2026-40989
Średnie

Podatność CVE-2026-40989 dotyczy nieskończonej rekurencji w warstwie routingu, co może prowadzić do błędu OOM (Out of Memory) podczas obsługi żądań. Dotyczy to różnych wersji Spring Cloud Function, w tym 3.2.x, 4.1.x, 4.2.x, 4.3.x oraz 5.0.x, a także starszych, nieobsługiwanych wersji.

CVE-2026-23638
Średnie

Kiteworks to sieć prywatnych danych (PDN). Przed wersją 9.3.0 występuje podatność typu Insecure Direct Object Reference (IDOR), która pozwala uwierzytelnionemu atakującemu na manipulację konfiguracjami wewnętrznego przepływu zatwierdzania formularzy należących do innych użytkowników z powodu niewystarczających kontroli autoryzacji dotyczących własności zasobów.

CVE-2026-10283
Średnie

Wykryto podatność w Bottelet DaybydayCRM do wersji 2.2.1, dotycząca nieznanej funkcji komponentu Setting Handler. Manipulacja tą funkcją prowadzi do braku autoryzacji, co umożliwia zdalne wykorzystanie podatności.

CVE-2026-10282
Średnie

Wykryto podatność bezpieczeństwa w Bottelet DaybydayCRM do wersji 2.2.1, która wpływa na funkcję view w pliku app/Http/Controllers/DocumentsController.php. Manipulacja ta prowadzi do niewłaściwej autoryzacji.

CVE-2026-10279
Średnie

Zidentyfikowano podatność w hiraishikentaro wezterm-mcp w wersji 0.1.0, która dotyczy nieznanej funkcji w pliku src/wezterm_executor.ts komponentu switch_pane/write_to_specific_pane. Manipulacja argumentem request.params.arguments.pane_id prowadzi do wstrzyknięcia poleceń systemowych.

CVE-2026-10278
Średnie

W podatności CVE-2026-10278 zidentyfikowano problem w ishayoyo excel-mcp do wersji 1.0.2, dotyczący nieznanej funkcji w pliku src/index.ts komponentu read_file/write_file. Manipulacja argumentami filePath/outputPath może prowadzić do ataku typu path traversal.

CVE-2026-10277
Średnie

Wykryto podatność w narzędziu MCP Gmail Tool w wersjach do 831790e7d5c2663325733d9f5579cc339a267c4c. Problem dotyczy funkcji saveToDisk w pliku src/tools/gmail.ts i prowadzi do niewłaściwych kontroli dostępu, co umożliwia zdalne przeprowadzenie ataku.

CVE-2026-10276
Średnie

Wykryto podatność w hekmon8 Jenkins-server-mcp w wersji 0.1.0, która dotyczy funkcji jobPath w pliku src/index.ts komponentu get_build_status/get_build_log/trigger_build. Manipulacja ta prowadzi do ataku typu server-side request forgery, który może być przeprowadzony zdalnie.

CVE-2026-8643
Średnie

Podatność w narzędziu pip polega na traktowaniu wpisów console_scripts i gui_scripts jako ścieżek zamiast nazw plików, bez odpowiedniego oczyszczenia rozpoznanej ścieżki bezwzględnej do katalogu instalacyjnego. Umożliwia to instalowanie punktów wejściowych poza docelowym katalogiem instalacyjnym.

CVE-2026-45701
Średnie

Sulu to otwartoźródłowy system zarządzania treścią PHP oparty na frameworku Symfony. W wersjach przed 2.6.23 i 3.0.6, token resetowania hasła oraz generowanie klucza API korzystały z słabego algorytmu haszującego. Problem ten został naprawiony w wersjach 2.6.23 i 3.0.6.

CVE-2026-45267
Średnie

Nextcloud to otwarta platforma do współpracy nad treścią. Przed wersją 5.2.6 brak weryfikacji uprawnień umożliwiał użytkownikom żądanie odczytu formularzy przesłanych przez innych użytkowników. Problem został naprawiony w wersji 5.2.6.

CVE-2026-45264
Średnie

W Nextcloud, od wersji 17.0.0 do przed 17.0.15, 18.0.0 do przed 18.1.12, 19.0.0 do przed 19.1.16, 20.0.0 do przed 20.1.11 oraz 21.0.0 do przed 21.0.4, użytkownik z uprawnieniami READ i CREATE, ale bez uprawnień UPDATE dla folderu zespołowego, może zmieniać nazwy plików w tym folderze. Problem został naprawiony w wersjach 17.0.15, 18.1.12, 19.1.16, 20.1.11 oraz 21.0.4.

CVE-2026-45157
Średnie

Nextcloud to platforma do współpracy nad treścią typu open source. W wersjach serwera Nextcloud od 32.0.0 do przed 32.0.9 oraz od 33.0.0 do przed 33.0.3, złośliwy użytkownik mający dostęp do udostępnionego pliku mógł wykorzystać token udostępnienia do bezpośredniego dostępu do przesyłania fragmentów i zobaczyć tymczasowe pliki podczas trwających przesyłek.

PoprzedniaStrona 194 z 560Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS