Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-12252
Wysokie

W bibliotece nltk w wersjach 3.9.3 i wcześniejszych pięć klas interfejsu Stanford (StanfordPOSTagger, StanfordNERTagger, StanfordParser, StanfordDependencyParser i StanfordNeuralDependencyParser) jest podatnych na wykonanie niezaufanego kodu JAR. Klasy te akceptują kontrolowane przez użytkownika ścieżki JAR i wykonują je przez funkcję `java()`, która wywołuje `subprocess.Popen()` bez weryfikacji integralności. Podatność ta jest identyczna z CVE-2026-0848, która została naprawiona dla StanfordSegmenter przez dodanie weryfikacji SHA256, ale poprawka nie została zastosowana do tych dodatkowych klas.

CVE-2025-71380
Wysokie

Węzeł Execute Command w n8n umożliwia uwierzytelnionym użytkownikom wykonywanie dowolnych poleceń na systemie hosta, na którym działa n8n. Atakujący z dostępem użytkownika lub skradzionymi danymi uwierzytelniającymi mogą wykorzystać ten węzeł do uruchamiania złośliwych poleceń.

CVE-2025-71375
Wysokie

Picklescan przed wersją 0.0.34 nie wykrywa wbudowanej funkcji _operator.methodcaller podczas skanowania plików pickle w poszukiwaniu złośliwego kodu. Atakujący mogą tworzyć złośliwe ładunki pickle wykorzystujące _operator.methodcaller, które omijają wykrywanie i wykonują dowolny kod po załadowaniu przez pickle.load().

CVE-2025-71373
Wysokie

Podatność w narzędziu picklescan przed wersją 0.0.33 polega na braku wykrywania wywołań funkcji operator.methodcaller w plikach pickle. Umożliwia to atakującym ominięcie zabezpieczeń i wykonanie dowolnego kodu poprzez spreparowane ładunki pickle.

CVE-2025-71372
Wysokie

Picklescan przed wersją 0.0.33 nie wykrywa gadżetu numpy.f2py.crackfortran.getlincoef w metodach __reduce__ pickle, co umożliwia zdalne wykonanie kodu. Atakujący mogą stworzyć złośliwe pliki pickle, które po załadowaniu wykonują dowolny kod Pythona, omijając mechanizmy bezpieczeństwa Picklescan.

CVE-2025-71369
Wysokie

Podatność w narzędziu picklescan przed wersją 0.0.28 pozwala na ominięcie mechanizmów bezpieczeństwa poprzez wykorzystanie torch.utils.data.datapipes.utils.decoder.basichandlers w metodach reduce. Atakujący mogą osadzić w plikach pickle złośliwy kod, który nie zostanie wykryty i wykona się podczas deserializacji.

CVE-2025-71367
Wysokie

Podatność w narzędziu picklescan przed wersją 0.0.34 nie wykrywa wywołań funkcji _operator.attrgetter w ładunkach pickle, co umożliwia atakującym ominięcie zabezpieczeń. Zdalni atakujący mogą stworzyć złośliwe pliki pickle używające _operator.attrgetter w metodach reduce do wykonania dowolnego kodu podczas przetwarzania pliku przez pickle.load().

CVE-2025-71366
Wysokie

Podatność w narzędziu picklescan przed wersją 0.0.28 nie wykrywa złośliwych wywołań funkcji torch.utils.bottleneck.__main__.run_cprofile w plikach pickle, co pozwala atakującym ominąć mechanizmy bezpieczeństwa. Zdalni atakujący mogą osadzić niewykrywalny kod w plikach pickle, prowadząc do zdalnego wykonania kodu po ich załadowaniu przez ofiarę.

CVE-2025-71364
Wysokie

Picklescan przed wersją 0.0.30 nie wykrywa funkcji asyncio.unix_events._UnixSubprocessTransport._start w metodach reduce pickle, co umożliwia zdalne wykonanie kodu. Atakujący mogą stworzyć złośliwe pliki pickle zawierające tę wbudowaną funkcję, które omijają detekcję, ale wykonują dowolne polecenia po załadowaniu.

CVE-2025-71362
Wysokie

Podatność w narzędziu picklescan przed wersją 0.0.33 polega na braku wykrywania niebezpiecznej deserializacji, gdy funkcje numpy.f2py.crackfortran wywołują eval na dowolnych ciągach znaków. Atakujący mogą osadzić złośliwy kod w plikach pickle, który wykonuje się podczas ładowania z niezaufanych źródeł.

CVE-2025-71360
Wysokie

Podatność w narzędziu picklescan przed wersją 0.0.29 polega na braku wykrywania złośliwych plików pickle wykorzystujących funkcję idlelib.calltip.get_entity w metodach reduce. Atakujący mogą osadzić niewykryty kod w plikach pickle, który wykonuje zdalne polecenia po załadowaniu przez ofiarę.

CVE-2025-71359
Wysokie

Podatność w narzędziu picklescan przed wersją 0.0.29 pozwala na ominięcie detekcji złośliwych ładunków pickle wykorzystujących metodę lib2to3.pgen2.grammar.Grammar.loads w funkcji reduce. Atakujący mogą stworzyć pliki pickle zawierające niebezpieczny kod, który unika wykrycia i wykonuje się podczas deserializacji pickle.load().

CVE-2025-71356
Wysokie

Picklescan przed wersją 0.0.28 nie wykrywa złośliwych wywołań funkcji torch.fx.experimental.symbolic_shapes.ShapeEnv.evaluate_guards_expression w plikach pickle. Atakujący mogą osadzić niewykryty kod w plikach pickle, który wykonuje zdalny kod po załadowaniu przez ofiarę.

CVE-2025-71353
Wysokie

Podatność w narzędziu picklescan przed wersją 0.0.28 pozwala na ominięcie detekcji złośliwych plików pickle. Atakujący mogą wykorzystać funkcję torch._dynamo.guards.GuardBuilder.get w metodach reduce, aby osadzić kod, który unika skanowania i wykonuje dowolne polecenia po załadowaniu.

CVE-2025-71347
Wysokie

Podatność w narzędziu picklescan przed wersją 0.0.33 pozwala na ominięcie zabezpieczeń poprzez wykorzystanie funkcji numpy.f2py.crackfortran.param_eval w metodach reduce. Atakujący mogą osadzić niewykrywalny kod w plikach pickle, który wykonuje się podczas deserializacji.

CVE-2025-71345
Wysokie

Picklescan przed wersją 0.0.30 nie wykrywa złośliwych plików pickle, które wywołują funkcję torch.utils.bottleneck.__main__.run_autograd_prof. Atakujący mogą osadzić niewykryty kod w plikach pickle, który wykonuje się podczas deserializacji, umożliwiając zdalne wykonanie kodu.

CVE-2025-71343
Wysokie

Podatność w narzędziu picklescan przed wersją 0.0.30 pozwala na ominięcie detekcji złośliwych plików pickle wykorzystujących funkcję lib2to3.pgen2.pgen.ParserGenerator.make_label w metodzie reduce. Atakujący mogą stworzyć pliki pickle z osadzonym kodem, który unika wykrycia, ale wykonuje dowolne polecenia podczas wywołania pickle.load().

CVE-2025-71342
Wysokie

Podatność w narzędziu picklescan przed wersją 0.0.30 nie wykrywa złośliwych plików pickle wykorzystujących metodę idlelib.run.Executive.runcode w funkcjach reduce. Atakujący mogą osadzić niewykrywalny kod w plikach pickle, który wykonuje się podczas pickle.load, umożliwiając zdalne wykonanie kodu w modelach PyTorch oraz ataki na łańcuch dostaw.

CVE-2026-54424
Wysokie

Podatność w Unity Parsec na systemie Windows umożliwia eskalację uprawnień poprzez nieprawidłowe użycie interfejsów API z uprzywilejowanymi uprawnieniami. Problem dotyczy wersji do v2026-05-04.0 włącznie, a załatana wersja to 150-104a. Użytkownik może doprowadzić do uruchomienia procesu parsecd.exe jako NT AUTHORITY\SYSTEM z kontrolowaną przez siebie wartością zmiennej środowiskowej AppData.

CVE-2026-58523
Średnie

Podatność w Microsoft Edge dla systemu Android umożliwia nieautoryzowanemu atakującemu ominięcie funkcji zabezpieczającej przez sieć. Problem wynika z nieprawidłowej kontroli dostępu w przeglądarce.

PoprzedniaStrona 2 z 4462Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS