Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-10789
Krytyczne

Złośliwie skonstruowana strona internetowa, odwiedzona przez użytkownika z uruchomionym Autodesk Fusion Desktop i włączonym rozszerzeniem MCP, może wywołać podatność w tym rozszerzeniu, co może prowadzić do wykonania dowolnego kodu.

CVE-2026-7664
Krytyczne

IBM Langflow OSS w wersjach od 1.0.0 do 1.8.4 zawiera podatność polegającą na nieprawidłowym egzekwowaniu autoryzacji w punkcie końcowym transportu Streamable MCP. Umożliwia to nieuwierzytelnionym atakującym dostęp do chronionych zasobów projektu MCP oraz wykonywanie operacji MCP.

CVE-2026-12628
Krytyczne

IBM Storage Protect Client 8.1.0.0 do 8.2.1.0 oraz IBM Storage Protect Snapshot For Windows 8.1.0.0 do 8.2.1.0 zawierają zakodowane na stałe poświadczenie w mechanizmie uwierzytelniania FlashCopy Manager (FCM). Umożliwia to zdalnemu atakującemu ominięcie uwierzytelnienia i uzyskanie nieautoryzowanego dostępu do chronionych usług.

CVE-2026-7166
Krytyczne

Podatność polega na ujawnieniu wrażliwych danych, takich jak adresy e-mail i numery telefonów, bez odpowiedniej ochrony. Wrażliwe informacje są również dostępne w lokalnej bazie danych, w tym dane dotyczące nieletnich oraz użytkowników miejskich.

CVE-2026-7165
Krytyczne

Podatność występuje w punkcie końcowym '/addJugador', gdzie parametry 'keyJugador' i 'keyJugadorObjectiu' umożliwiają modyfikację informacji innych użytkowników bez weryfikacji autoryzacji. Dodatkowo, pola 'punts' i 'numObjectiusEliminats' pozwalają na dodawanie dowolnych danych, co może prowadzić do oszustw związanych z nagrodami.

CVE-2026-28381
Krytyczne

Podatność w źródle danych Snowflake umożliwia wykonywanie poleceń GET/PUT, co pozwala każdemu użytkownikowi mającemu dostęp do zapytań na odczytywanie i zapisywanie plików między lokalnym serwerem Grafana a podłączonym hostem Snowflake.

CVE-2026-10561
Krytyczne

IBM Langflow OSS w wersjach od 1.0.0 do 1.9.3 zawiera podatność wynikającą z nieprawidłowej izolacji wykonywania kodu Python w połączeniu z obejściem uwierzytelniania. Niezalogowany atakujący może zdalnie wykonać dowolny kod na systemie hosta, co prowadzi do całkowitego przejęcia kontroli.

CVE-2026-56422
Krytyczne

Wielokrotne kontrolery rdzenia MISP oraz ścieżki modelu akceptowały pola żądań kontrolowane przez klienta, takie jak klucze główne i klucze obce, bez odpowiedniego weryfikowania ich przez serwer. Umożliwia to uwierzytelnionemu użytkownikowi przesyłanie zmodyfikowanych danych, co może prowadzić do nadpisania obiektów lub nieautoryzowanego dostępu do danych.

CVE-2026-11373
Krytyczne

Wersje Net::Statsite::Client do 1.1.0 dla Perla umożliwiają wstrzykiwanie metryk. Nowe linie nie są usuwane z nazw metryk, co pozwala na ich wstrzykiwanie.

CVE-2026-11746
Krytyczne

Wykryto podatność w wersjach centraldogma-server przed 0.84.0, gdzie włączenie replikacji ZooKeeper bez ustawienia replication.secret powoduje, że serwer cicho przechodzi do użycia wbudowanego, publicznie znanego sekretu. Ten domyślny identyfikator uwierzytelnia wbudowany zespół ZooKeeper.

CVE-2026-56397
Krytyczne

SiYuan w wersjach przed 3.6.1 nie sanitizuje metadanych pakietów oraz treści README w rynku Bazaar, co pozwala złośliwym autorom pakietów na wstrzykiwanie dowolnego HTML i JavaScript.

CVE-2026-56395
Krytyczne

SiYuan przed wersją 3.6.1 nie sanitizuje metadanych pakietów oraz treści README w rynku Bazaar, co pozwala złośliwym autorom pakietów na wstrzykiwanie dowolnego HTML i JavaScript. Atakujący mogą uzyskać zdalne wykonanie kodu na każdym użytkowniku przeglądającym Bazaar, osadzając ładunki XSS w polach displayName, opisu lub README.

CVE-2026-56265
Krytyczne

Crawl4AI przed wersją 0.8.7 zawiera podatność polegającą na ominięciu uwierzytelniania z powodu zakodowanego na stałe domyślnego klucza podpisywania JWT w serwerze API Docker. Atakujący znający domyślny klucz mogą sfałszować ważne tokeny uwierzytelniające dla dowolnego użytkownika, omijając uwierzytelnianie i uzyskując pełny dostęp do chronionych funkcji.

CVE-2026-5366
KrytyczneEPSS 55%

Prefect w wersji 3.6.23 zawiera podatność na zdalne wykonanie kodu z powodu nieprawidłowego obsługiwania danych wejściowych użytkownika w klasie pamięci masowej `GitRepository`. Parametr `commit_sha` przekazywany do poleceń git nie jest walidowany i nie zawiera separatora `--` odróżniającego dane wejściowe od flag git, co pozwala atakującym na wstrzykiwanie dowolnych flag git, takich jak `--upload-pack`, umożliwiając wykonanie zewnętrznych programów. Dodatkowo parametr `directories` może być wykorzystany do wstrzykiwania flag git podczas operacji sparse-checkout.

CVE-2024-58351
Krytyczne

Flowise w wersjach przed 2.1.4 pozwala na wstrzykiwanie konfiguracji do Chainflow podczas wykonywania za pomocą opcji overrideConfig. Funkcja ta jest domyślnie włączona i nie posiada listy dozwolonych zmiennych, co umożliwia atakującym zdalne wykonanie kodu oraz inne poważne ataki.

CVE-2022-50972
Krytyczne

WooCommerce w wersji 7.1.0 zawiera podatność na zdalne wykonanie kodu, która umożliwia atakującym wykonywanie dowolnego kodu PHP poprzez wstrzykiwanie poleceń powłoki za pomocą parametru typu produktu.

CVE-2019-25763
Krytyczne

Wtyczka WordPress Ultimate Addons for Beaver Builder w wersji 1.2.4.1 zawiera lukę umożliwiającą obejście uwierzytelniania, co pozwala atakującym na uzyskanie nieautoryzowanego dostępu poprzez wykorzystanie funkcji logowania za pomocą mediów społecznościowych.

CVE-2026-48939
Krytyczne

Podatność w rozszerzeniu iCagenda dla Joomla umożliwia przesyłanie dowolnych plików w funkcji załączników, co prowadzi do wgrania i wykonania kodu PHP.

CVE-2026-48909
KrytyczneEPSS 52%

SP LMS (com_splms) w wersji poniżej 4.1.4 od JoomShaper deserializuje dane z ciasteczek kontrolowane przez użytkownika bez walidacji, co umożliwia nieautoryzowanemu zdalnemu atakującemu wykonanie dowolnego kodu na serwerze.

CVE-2026-48908
Krytyczne

Podatność w SP Page Builder dla Joomla umożliwia nieuwierzytelnionym użytkownikom przesyłanie dowolnych plików, co prowadzi do wgrania i wykonania kodu PHP.

PoprzedniaStrona 20 z 554Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS