Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-46685
Średnie

RustFS to rozproszony system przechowywania obiektów zbudowany w Rust. Przed wersją 1.0.0-beta.2, gdy RUSTFS_CORS_ALLOWED_ORIGINS nie jest ustawiony, warstwa ConditionalCorsLayer nasłuchiwacza S3 RustFS odzwierciedla dowolną wartość Origin żądania jako Access-Control-Allow-Origin, co prowadzi do luźnej polityki cross-domain z nieufnymi źródłami.

CVE-2026-46526
Średnie

W wersjach przed 1.6.10, logika sprawdzania URL w Local Deep Research zawierała błąd logiczny, który mógł być wykorzystany przez atakujących do przeprowadzenia ataków SSRF. Problem wynikał z różnic w analizie URL między urlparse a biblioteką wysyłającą żądanie.

CVE-2026-45040
Średnie

RustFS to rozproszony system przechowywania obiektów zbudowany w języku Rust. W wersjach przed 1.0.0-beta.2 występuje wyciek wrażliwych informacji w logach, gdzie przy uruchomieniu serwera z RUST_LOG=debug, wrażliwe dane, takie jak SessionToken (JWT) i SecretAccessKey, są zapisywane w postaci niezaszyfrowanej.

CVE-2026-44394
Średnie

W OpenStack Keystone przed wersją 29.0.2 zidentyfikowano problem związany z mechanizmem zmiany zakresu tokenów federacyjnych. Mechanizm ten nie przenosi daty wygaśnięcia oryginalnego tokena do nowo wydanego tokena, co pozwala użytkownikom na nieograniczony dostęp poprzez wielokrotne zmienianie zakresu tokena.

CVE-2026-43979
Średnie

W wersjach przed 1.6.0, funkcja PDFService._markdown_to_html() w Local Deep Research nieprawidłowo interpoluje wartości kontrolowane przez użytkownika, co pozwala na wstrzykiwanie niebezpiecznych tagów HTML. Umożliwia to atakującemu, który jest uwierzytelniony, na wykonanie ataku SSRF poprzez odpowiednio skonstruowane zapytanie badawcze.

CVE-2026-43000
Średnie

W OpenStack Keystone przed wersją 29.0.2 odkryto lukę, która w połączeniu z podatnością na podszywanie się pod poświadczenia aplikacji pozwala atakującemu z rolą członka projektu na eskalację do administratora. Atak polega na łańcuchowaniu nieograniczonych poświadczeń aplikacji z zaufaniami Keystone, co umożliwia przejęcie tożsamości ofiary i utworzenie zaufania delegującego jej rolę administratora.

CVE-2026-42999
Średnie

W OpenStack Keystone przed wersją 29.0.2 wykryto podatność w mechanizmie wymuszania polityk RBAC. Funkcja enforce_call bezwarunkowo scala surowe JSON z żądania HTTP ze słownikiem polityk, nadpisując zaufane dane pochodzące z bazy danych. Umożliwia to uwierzytelnionemu użytkownikowi wstrzyknięcie dowolnych atrybutów (np. user_id, project_id) i ominięcie kontroli dostępu.

CVE-2026-42998
Średnie

W aplikacji OpenStack Keystone przed wersją 29.0.2 występuje problem z weryfikacją użytkownika wtyczki uwierzytelniania aplikacji. Atakujący może uwierzytelnić się za pomocą własnego identyfikatora i sekretu aplikacji, podając jednocześnie nazwę i domenę innego użytkownika, co prowadzi do wydania tokena przypisanego do ofiary.

CVE-2026-46561
Średnie

pyLoad to darmowy i otwartoźródłowy menedżer pobierania napisany w Pythonie. W wersjach przed 0.5.0b3.dev100, sprawdzenie prywatnego adresu IP oparte na PREREQFUNCTION nie było stosowane do HTTPRequest, co umożliwiało atakującemu ominięcie kontroli is_global_host() poprzez dostarczenie URL wskazującego na serwer kontrolowany przez atakującego.

CVE-2026-45307
Średnie

Speakr to osobista, samodzielnie hostowana aplikacja webowa do transkrypcji nagrań audio. W wersjach przed 0.8.20-alpha, pomocnicza funkcja is_safe_url() nieprawidłowo walidowała cele przekierowań po zalogowaniu, co mogło prowadzić do przekierowania na złośliwe adresy URL.

CVE-2026-45306
Średnie

pyLoad to darmowy i otwartoźródłowy menedżer pobierania napisany w Pythonie. W wersjach przed 0.5.0b3.dev100, poprawka dla CVE-2026-33509 nie chroniła katalogu sesji Flask (/tmp/pyLoad/flask), co pozwalało uwierzytelnionemu atakującemu na ustawienie storage_folder na ten katalog i pobranie plików sesji innych użytkowników.

CVE-2026-44796
Średnie

Nautobot, jako platforma automatyzacji sieci, miał podatność w interfejsie użytkownika na końcówkach obiektów do masowego zmieniania nazw, które mogły prowadzić do ogólnego odmowy usługi. Problem ten dotyczył wersji przed 2.4.33 i 3.1.2, gdzie złośliwie skonstruowane wyrażenia regularne mogły powodować awarie aplikacji.

CVE-2026-44794
Średnie

Nautobot, platforma automatyzacji sieci, ma lukę w wersjach przed 2.4.33 i 3.1.2, która dotyczy referencji między obiektami za pomocą GenericForeignKey. Podczas tworzenia lub aktualizacji obiektu z GenericForeignKey, API REST Nautobota nie egzekwowało uprawnień 'widoku' użytkownika, co mogło prowadzić do nieautoryzowanego dostępu.

CVE-2026-9091
Średnie

Wersje Casdoor 2.362.0 i wcześniejsze zawierają błąd logiczny w procesie powiązania logowania społecznościowego, który pozwala użytkownikom na ominięcie wymagań dotyczących wieloskładnikowego uwierzytelniania (MFA). Kod reguły powiązania w pliku controllers/auth.go wywołuje HandleLoggedIn bez sprawdzania włączenia MFA.

CVE-2026-47676
Średnie

Hono to framework aplikacji webowych wspierający dowolne środowisko JavaScript. W wersjach przed 4.12.21, metoda app.mount() usuwała prefiks montowania z przychodzącej ścieżki żądania w sposób nieprawidłowy, co prowadziło do błędnego przekazywania ścieżki do podaplikacji w przypadku użycia wielobajtowych znaków zakodowanych procentowo.

CVE-2026-47675
Średnie

Hono to framework aplikacji webowych wspierający dowolne środowisko JavaScript. W wersjach przed 4.12.21 funkcja serialize() w hono/cookie walidowała opcje domeny i ścieżki, ale nie stosowała tej samej walidacji dla sameSite i priority, co mogło prowadzić do wstrzyknięcia dodatkowych atrybutów przez atakującego.

CVE-2026-47674
Średnie

Hono to framework aplikacji webowych wspierający dowolne środowisko JavaScript. W wersjach przed 4.12.21, middleware do ograniczenia IP porównywał przychodzące adresy IP z skonfigurowanymi regułami za pomocą równości ciągów po częściowej normalizacji, co prowadziło do pomijania niekanonicznych reprezentacji IPv6.

CVE-2026-47673
Średnie

Hono to framework aplikacji webowych wspierający dowolne środowisko JavaScript. W wersjach przed 4.12.21, middleware jwt i jwk nie weryfikowały, czy wartość nagłówka Authorization używa schematu Bearer, co pozwalało na autoryzację z użyciem poprawnego JWT pod innym identyfikatorem schematu.

CVE-2026-45292
Średnie

Podatność w implementacji propagacji baggage w opentelemetry-java przed wersją 1.62.0 powoduje niekontrolowane przydzielanie pamięci i zużycie CPU podczas parsowania zbyt dużego baggage. Ponieważ baggage jest automatycznie wstrzykiwany do każdego wychodzącego żądania, efekt może rozprzestrzenić się na usługi downstream, które nigdy nie otrzymały oryginalnego złośliwego żądania.

CVE-2026-45078
Średnie

Synapse to otwartoźródłowa implementacja serwera domowego Matrix. Przed wersją 1.152.1, lokalni uwierzytelnieni użytkownicy mogli spowodować, że Synapse zablokuje inne żądania CPU, co prowadziło do ich niepowodzenia i odmowy usługi dla innych użytkowników.

PoprzedniaStrona 208 z 560Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS