Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-14608
Średnie

W systemie SourceCodester CET Automated Grading System z AI Predictive Analytics 1.0 wykryto podatność polegającą na obejściu autoryzacji. Problem występuje w pliku /index.php?action=view_student, gdzie manipulacja argumentem ID pozwala na nieautoryzowany dostęp.

CVE-2026-14607
Średnie

W systemie RT-Thread do wersji 5.0.2 wykryto słabość w funkcji sys_getaddrinfo w pliku components/lwp/lwp_syscall.c. Manipulacja argumentem ai_addr może prowadzić do uszkodzenia pamięci. Atak wymaga dostępu lokalnego i jest publicznie dostępny.

CVE-2026-14604
Średnie

W bibliotece Open Asset Import Library Assimp do wersji 6.0.4 wykryto podatność w funkcji Assimp::Exporter::ExportToBlob w pliku code/AssetLib/Ply/PlyLoader.cpp. Manipulacja w obsłudze modeli PLY prowadzi do podwójnego zwolnienia pamięci (double free). Atak może być przeprowadzony zdalnie, a exploit został publicznie ujawniony.

CVE-2026-14631
Średnie

Podatność w webpack-dev-server w wersjach 5.2.5 i wcześniejszych powoduje zakończenie procesu Node.js po otrzymaniu od nieuwierzytelnionego peera żądania HTTP z nieprawidłowym nagłówkiem Host lub żądania WebSocket z nieprawidłowym nagłówkiem Origin. Nieprawidłowa wartość wywołuje nieobsłużony wyjątek w walidacji hosta i powoduje awarię serwera deweloperskiego.

CVE-2026-14620
Średnie

Podatność w webpack-dev-server w wersjach do 5.2.5 włącznie ujawnia dwa wewnętrzne endpointy deweloperskie, które wykonują zmiany stanu na każdym żądaniu GET bez weryfikacji pochodzenia żądania. Każda strona internetowa odwiedzona przez dewelopera podczas działania serwera może wywołać te endpointy między domenami bez żadnej interakcji poza samą wizytą.

CVE-2026-14615
Średnie

W implementacji Fine-Grained Admin Permissions (FGAP) v2 w Keycloak wykryto lukę, która powoduje nieprawidłowe filtrowanie grup podrzędnych na podstawie uprawnień wywołującego. Delegowany administrator może uzyskać wgląd w szczegóły grup podrzędnych, do których nie ma bezpośredniego dostępu, w tym nazwy, ścieżki i atrybuty niestandardowe.

CVE-2026-14614
Średnie

W Keycloak, w komponencie ClientResource usług administracyjnych, po włączeniu FGAP v2, delegowany administrator może dodawać lub usuwać ukryte zakresy klientów, do których nie ma uprawnień. Pozwala to na wstrzyknięcie nieautoryzowanych danych lub uprawnień do tokenów bezpieczeństwa użytkowników końcowych.

CVE-2026-14613
Średnie

W interfejsie administracyjnym Keycloak wykryto podatność, która umożliwia administratorom z ograniczonymi uprawnieniami podgląd informacji o grupach, do których nie powinni mieć dostępu. Gdy włączone są nowe szczegółowe uprawnienia administracyjne (FGAP v2), administrator widzący konkretną rolę może również zobaczyć listę wszystkich grup przypisanych do tej roli, bez weryfikacji uprawnień do tych grup.

CVE-2026-14612
Średnie

W demonie ipa-otpd w FreeIPA wykryto dwa błędy off-by-one w obsłudze autoryzacji OAuth2, które mogą prowadzić do odczytu lub zapisu poza granicami bufora podczas przetwarzania zbyt dużego odpowiedzi od zewnętrznego dostawcy tożsamości OAuth2/OIDC. Atakujący kontrolujący dostawcę lub przeprowadzający atak typu man-in-the-middle może wykorzystać tę podatność do uzyskania dostępu do pamięci poza buforem.

CVE-2026-49813
Średnie

Produkt Dell PowerProtect Data Domain w wielu wersjach zawiera podatność na wstrzykiwanie poleceń systemu operacyjnego. Wysoko uprzywilejowany atakujący z dostępem lokalnym może wykorzystać tę lukę do wykonania dowolnych poleceń.

CVE-2026-46465
Średnie

Podatność w Dell PowerProtect Data Domain umożliwia atakującemu z wysokimi uprawnieniami i zdalnym dostępem wykorzystanie zewnętrznie kontrolowanego łańcucha formatującego. Może to prowadzić do ujawnienia informacji oraz odmowy usługi.

CVE-2026-46464
Średnie

Produkt Dell PowerProtect Data Domain w wielu wersjach zawiera podatność polegającą na nieprawidłowym rozwiązywaniu dowiązań przed dostępem do pliku. Umożliwia ona atakującemu z wysokimi uprawnieniami i zdalnym dostępem ujawnienie poufnych informacji.

CVE-2026-46463
Średnie

Produkt Dell PowerProtect Data Domain w wielu wersjach zawiera podatność na przepełnienie lub zawinięcie liczby całkowitej. Nieuwierzytelniony atakujący ze zdalnym dostępem może potencjalnie wykorzystać tę lukę, prowadząc do odmowy usługi.

CVE-2026-59234
Średnie

Podatność w Prospero Flow CRM przed wersją 5.5.3 umożliwia uwierzytelnionemu atakującemu usunięcie dowolnych wydarzeń kalendarza innych użytkowników poprzez manipulację parametrem {id} w żądaniu GET do /calendar/event/delete/{id}. Brak kontroli własności (user_id/company_id) przed usunięciem pozwala na nieautoryzowane niszczenie danych.

CVE-2026-54483
Średnie

Produkt Dell PowerProtect Data Domain w wielu wersjach zawiera podatność na wstrzykiwanie poleceń systemu operacyjnego. Wysoko uprzywilejowany atakujący z lokalnym dostępem może wykorzystać tę lukę do wykonania dowolnych poleceń.

CVE-2026-46730
Średnie

Podatność w Dell PowerProtect Data Domain umożliwia nieautoryzowane wykonanie poleceń przez lokalnego atakującego z wysokimi uprawnieniami. Problem wynika z nieprawidłowej autoryzacji w systemie.

CVE-2026-46468
Średnie

Podatność w Dell PowerProtect Data Domain pozwala wysoko uprzywilejowanemu atakującemu z lokalnym dostępem na wykorzystanie niewłaściwego rozwiązywania dowiązań przed dostępem do pliku, co może prowadzić do ujawnienia informacji.

CVE-2026-46467
Średnie

Podatność w Dell PowerProtect Data Domain powoduje wstawianie wrażliwych informacji do plików dziennika. Osoba atakująca z niskimi uprawnieniami i lokalnym dostępem może wykorzystać tę lukę do ujawnienia poufnych danych.

CVE-2026-44269
Średnie

Produkt Dell PowerProtect Data Domain w wielu wersjach zawiera podatność polegającą na nieprawidłowym rozwiązywaniu dowiązań przed dostępem do pliku. Umożliwia ona atakującemu z wysokimi uprawnieniami i lokalnym dostępem uzyskanie nieautoryzowanego dostępu do systemu.

CVE-2026-44268
Średnie

W systemie Dell PowerProtect Data Domain wykryto podatność polegającą na nieprawidłowym przypisaniu uprawnień do krytycznego zasobu. Luka ta może zostać wykorzystana przez lokalnego atakującego z wysokimi uprawnieniami, prowadząc do nieautoryzowanego dostępu.

PoprzedniaStrona 2 z 489Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS