Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-56264
Wysokie

Crawl4AI przed wersją 0.8.7 zawiera podatność na wykonanie dowolnego kodu JavaScript w punkcie końcowym /execute_js serwera API Docker. Atakujący może wykonać dowolny JavaScript w kontekście przeglądarki serwera z wyłączonymi zabezpieczeniami sieciowymi, co umożliwia ataki SSRF na wewnętrzne usługi.

CVE-2026-56249
Wysokie

Podatność w Capgo przed wersją 12.128.2 umożliwia ominięcie autoryzacji w punkcie końcowym tworzenia kanałów. Uwierzytelnieni użytkownicy mogą nadpisywać istniejące kanały, ponownie wykorzystując ich nazwy.

CVE-2026-56247
Wysokie

Podatność w Capgo przed wersją 12.128.2 umożliwia administratorom organizacji przypisywanie ról RBAC o zasięgu organizacyjnym na poziomie aplikacji bez walidacji zgodności zakresu, w tym dla oczekujących zaproszeń. Atakujący mogą wstępnie utworzyć nieprawidłowe powiązania o wysokich uprawnieniach, które przetrwają akceptację zaproszenia, umożliwiając użytkownikom o niskich uprawnieniach wykonywanie nieautoryzowanych uprzywilejowanych działań w aplikacji.

CVE-2026-56233
Wysokie

Capgo przed wersją 12.128.2 zawiera podatność na przechodzenie ścieżek w proxy przesyłania plików, która umożliwia uwierzytelnionym użytkownikom z uprawnieniami do budowania ominięcie ograniczeń przesyłania. Atakujący mogą dołączać sekwencje przechodzenia do ścieżki przesyłania, które są normalizowane przez parser URL WHATWG, co umożliwia dostęp do wewnętrznych punktów końcowych administracyjnych z uprzywilejowanym nagłówkiem BUILDER_API_KEY i prowadzi do eskalacji uprawnień po stronie serwera.

CVE-2026-56230
Wysokie

Podatność w Capgo przed wersją 12.128.2 polega na nieprawidłowej autoryzacji na poziomie obiektu w funkcji middlewareKey(). Funkcja ta akceptuje nagłówek x-limited-key-id kontrolowany przez klienta bez weryfikacji własności, co pozwala uwierzytelnionym użytkownikom na przejmowanie kluczy ograniczonych z innych dzierżawców. Atakujący może podać identyfikator klucza innego dzierżawcy, aby ominąć kontrole autoryzacji i uzyskać dostęp do nieautoryzowanych zasobów między dzierżawcami w wielu punktach końcowych API.

CVE-2026-56219
Wysokie

Podatność w Capgo przed wersją 12.128.2 umożliwia nieuwierzytelnionym atakującym ominięcie autoryzacji w funkcji public.get_org_user_access_rbac. Poprzez niewłaściwe porównanie wartości NULL w bramce autoryzacji, atakujący mogą ujawnić powiązania ról RBAC oraz adresy e-mail członków organizacji, wykorzystując jedynie publiczny klucz API.

CVE-2026-54673
Wysokie

Podatność w bibliotece electron-updater przed wersją 9.7.0 umożliwia wyciek nagłówków uwierzytelniających podczas przekierowań HTTP. Mechanizm obsługi przekierowań usuwał jedynie nagłówek 'authorization' zapisany małymi literami, pomijając inne wrażliwe nagłówki, takie jak 'PRIVATE-TOKEN' czy 'Authorization' z mieszaną wielkością liter, co mogło prowadzić do ujawnienia danych uwierzytelniających.

CVE-2026-54672
Wysokie

Podatność w electron-updater przed wersją 26.15.0 pozwala na dodanie bieżącego katalogu roboczego do ścieżki wyszukiwania bibliotek dynamicznych przez pusty komponent ścieżki w zmiennej LD_LIBRARY_PATH. Atakujący może umieścić złośliwą bibliotekę współdzieloną w katalogu uruchomienia AppImage, co prowadzi do wykonania dowolnego kodu.

CVE-2026-52198
Wysokie

W urządzeniu UTT nv518G w wersji oprogramowania nv518GV3v3.2.7-210919-161313 wykryto podatność na przepełnienie bufora. Zdalny atakujący może wykorzystać komponent gohead/sub_425994, aby spowodować odmowę usługi (DoS).

CVE-2026-52197
Wysokie

Podatność w routerze UTT nv518G w wersji oprogramowania nv518GV3v3.2.7-210919-161313 umożliwia zdalnemu atakującemu spowodowanie odmowy usługi (DoS) poprzez komponent gohead/sub_44af70.

CVE-2026-52195
Wysokie

W urządzeniu UTT nv518G w wersji oprogramowania nv518GV3v3.2.7-210919-161313 wykryto podatność na przepełnienie bufora. Zdalny atakujący może wykorzystać tę lukę w komponencie gohead/sub_472f08, powodując odmowę usługi (DoS).

CVE-2026-52193
Wysokie

W urządzeniu UTT nv518G w wersji oprogramowania nv518GV3v3.2.7-210919-161313 wykryto podatność na przepełnienie bufora. Zdalny atakujący może wykorzystać komponent gohead/sub_447CAC, aby spowodować odmowę usługi (DoS).

CVE-2026-14151
Wysokie

Nieprawidłowa implementacja w funkcji AI w przeglądarce Google Chrome przed wersją 150.0.7871.47 umożliwiała zdalnemu atakującemu, który skompromitował proces renderowania, potencjalne opuszczenie piaskownicy (sandbox escape) za pomocą spreparowanej strony HTML. Podatność ma niski priorytet bezpieczeństwa Chromium.

CVE-2026-14149
Wysokie

Podatność Use-After-Free w komponencie Audio w przeglądarce Google Chrome na systemie Linux przed wersją 150.0.7871.47 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu za pomocą spreparowanej strony HTML. Problem został sklasyfikowany jako niskiego ryzyka (Low) przez zespół bezpieczeństwa Chromium.

CVE-2026-14124
Wysokie

Podatność w komponencie CredentialProvider przeglądarki Google Chrome na systemie Windows (przed wersją 150.0.7871.47) umożliwiała lokalnemu atakującemu eskalację uprawnień na poziomie systemu operacyjnego za pomocą złośliwego pliku. Problem został sklasyfikowany jako niskiego ryzyka przez zespół Chromium.

CVE-2026-14122
Wysokie

W Google Chrome na systemie Windows przed wersją 150.0.7871.47 stwierdzono niewystarczającą walidację niezaufanych danych wejściowych w komponencie WebAppInstalls. Luka ta umożliwia zdalnemu atakującemu wykonanie dowolnych operacji odczytu/zapisu za pomocą spreparowanej strony HTML.

CVE-2026-14115
Wysokie

W przeglądarce Google Chrome przed wersją 150.0.7871.47 stwierdzono niewystarczającą walidację niezaufanych danych wejściowych w komponencie Cast. Luka umożliwia zdalnemu atakującemu, który wcześniej przejął proces renderowania, eskalację uprawnień poprzez spreparowaną stronę HTML.

CVE-2026-14114
Wysokie

Podatność w implementacji WebAppInstalls w przeglądarce Google Chrome na Androidzie przed wersją 150.0.7871.47 umożliwiała lokalnemu atakującemu fałszowanie interfejsu użytkownika za pomocą złośliwego pliku. Problem został sklasyfikowany jako niskiego ryzyka przez zespół bezpieczeństwa Chromium.

CVE-2026-14111
Wysokie

W przeglądarce Google Chrome przed wersją 150.0.7871.47 w komponencie WebProtect występuje podatność use-after-free. Osoba atakująca, która nakłoni użytkownika do zainstalowania złośliwego rozszerzenia, może wykorzystać tę podatność do wykonania dowolnego kodu za pomocą spreparowanego rozszerzenia Chrome.

CVE-2026-14108
Wysokie

W przeglądarce Google Chrome przed wersją 150.0.7871.47 wykryto podatność use-after-free w komponencie PDFium. Zdalny atakujący może wykorzystać specjalnie spreparowany plik PDF do wykonania dowolnego kodu w środowisku piaskownicy.

PoprzedniaStrona 21 z 3334Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS