Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-9265
Krytyczne

Wersje Crypt::OpenSSL::PKCS12 przed 1.96 dla Perla pozwalają na odczyt poza granicami pamięci (OOB) w funkcji print_attribute dla atrybutu UTF8STRING. Funkcja ta kopiuje wartość atrybutu ASN.1 do bufora pamięci, nie dodając znaku NUL na końcu, co prowadzi do niebezpiecznego odczytu sąsiednich bajtów.

CVE-2026-11551
Krytyczne

Wtyczka Branda dla WordPressa jest podatna na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do 3.4.29 włącznie. Problem wynika z niewłaściwej walidacji tożsamości użytkownika przed aktualizacją hasła.

CVE-2026-56081
Krytyczne

Cap-go w wersjach przed 12.128.2 zawiera błąd w logice uwierzytelniania, który pozwala atakującemu zarejestrować i kontrolować konto powiązane z adresem e-mail ofiary przed jego weryfikacją. Włączenie uwierzytelniania dwuskładnikowego na wstępnie zarejestrowanym koncie umożliwia atakującemu przejęcie kontroli nad kontem ofiary.

CVE-2026-56073
Krytyczne

Cap-go przed wersją 12.128.2 zawiera podatność na obejście uwierzytelniania w weryfikacji OTP, co pozwala atakującym na ominięcie weryfikacji e-mailowej poprzez modyfikację odpowiedzi serwera. Atakujący mogą przechwytywać żądania weryfikacji OTP i manipulować odpowiedziami HTTP, co umożliwia fałszywe oznaczenie weryfikacji jako udanej.

CVE-2026-48584
Krytyczne

Podatność w Azure Synapse umożliwia wykonanie operacji z niepotrzebnie podwyższonymi uprawnieniami. Autoryzowany atakujący może zdalnie eskalować swoje uprawnienia w sieci.

CVE-2026-48582
Krytyczne

Brak autoryzacji w Microsoft Exchange Online umożliwia autoryzowanemu atakującemu podniesienie uprawnień w sieci.

CVE-2026-45480
Krytyczne

Nieprawidłowa autoryzacja w Azure Active Directory umożliwia nieautoryzowanemu atakującemu podniesienie uprawnień w sieci.

CVE-2026-48773
Krytyczne

ProxySQL, będący proxy dla MySQL i PostgreSQL, ma podatność na uszkodzenie pamięci w stercie przed uwierzytelnieniem w wersjach od 2.0.18 do 3.0.8. Zdalny, nieautoryzowany klient może zadeklarować zbyt dużą długość pierwszego pakietu, co prowadzi do potencjalnego wykorzystania tej luki.

CVE-2026-48772
Krytyczne

ProxySQL w wersjach od 2.0.0 do 3.0.8 akceptuje niepoprawnie sformatowany nagłówek protokołu PROXY, co pozwala atakującym na fałszowanie adresów źródłowych. To prowadzi do obejścia reguł routingu i kontroli dostępu, umożliwiając atakującym manipulację zapytaniami jako zaufany użytkownik.

CVE-2026-51846
Krytyczne

W Tenda AC7 w wersji 15.03.06.44 występuje podatność na przepełnienie bufora stosu w parametrze wanSpeed w trasie /goform/AdvSetMacMtuWan, co może prowadzić do zdalnego wykonania dowolnego kodu.

CVE-2026-51845
Krytyczne

Tenda AC7 w wersji 15.03.06.44 zawiera podatność na przepełnienie bufora stosu w interfejsie /goform/AdvSetMacMtuWan poprzez parametr mac.

CVE-2026-51844
Krytyczne

Tenda AC7 w wersji 15.03.06.44 zawiera podatność na przepełnienie bufora stosu w interfejsie /goform/AdvSetMacMtuWan poprzez parametr cloneType.

CVE-2026-51843
Krytyczne

Tenda AC7 w wersji 15.03.06.44 zawiera podatność na przepełnienie bufora stosu w interfejsie /goform/AdvSetMacMtuWan poprzez parametr wanMTU.

CVE-2026-9142
Krytyczne

W NI grpc-device występuje podatność na niebezpieczne domyślne dane uwierzytelniające, gdy konfiguracja TLS jest nieobecna, a serwer jest dostępny poza pętlą zwrotną. Może to umożliwić nieautoryzowanemu użytkownikowi dostęp do serwera w lokalnej sieci.

CVE-2026-49871
Krytyczne

Podatność CSRF w wtyczce cas-auth w domyślnych konfiguracjach pozwala zdalnemu atakującemu na uwierzytelnienie przeglądarki ofiary jako innej tożsamości. Działania podejmowane przez ofiarę są następnie przypisywane tożsamości atakującego.

CVE-2026-49230
Krytyczne

Podatność związana z niewłaściwą walidacją wartości sprawdzania integralności w Apache APISIX umożliwia obejście uwierzytelniania wtyczki jwe-decrypt w domyślnej konfiguracji. Problem dotyczy wersji od 3.8.0 do 3.16.0.

CVE-2026-48137
Krytyczne

W API strumieniowania bocznego NI grpc-device występuje podatność na dereferencję nieufnego wskaźnika, która może umożliwić atakującemu spowodowanie dowolnej dereferencji pamięci, co potencjalnie prowadzi do zdalnego wykonania kodu. Wykorzystanie tej podatności wymaga dostarczenia specjalnie przygotowanej wiadomości protobuf Moniker.

CVE-2026-44087
Krytyczne

W podatności CVE-2026-44087 w Apache APISIX występuje niewystarczająca weryfikacja autentyczności danych wtyczki openid-connect, co umożliwia atakującemu fałszowanie nagłówków tożsamości.

CVE-2026-39999
Krytyczne

Podatność na obejście uwierzytelnienia poprzez spoofing w Apache APISIX pozwala atakującemu na całkowite ominięcie procesu uwierzytelniania, wykorzystując określone konfiguracje wtyczki jwt-auth. Problem dotyczy wersji Apache APISIX od v2.2 do v3.16.0.

CVE-2025-62821
KrytyczneEPSS 53%

Podatność w rozszerzeniach obrazów HEIF firmy Microsoft (wersja 1.2.22.0) wynika z błędu odczytu poza dozwolonym zakresem. Funkcja CHEIFItemInfoEntry_GetDataSize może zwrócić sukces, pozostawiając rozmiar danych jako 0, co prowadzi do alokacji tylko 1 bajta. Następnie funkcja CopyPixels oblicza rozmiar kopii na podstawie stride i wysokości, ale nie sprawdza długości bufora źródłowego przed wywołaniem memmove.

PoprzedniaStrona 21 z 554Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS