Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.13)

CVE-2026-46104
Średnie

W jądrze Linux wykryto podatność w module SELinux, gdzie funkcje pomocnicze gniazd (sock_has_perm i nlmsg_sock_has_extended_perms) bezpośrednio odwoływały się do pola sk->sk_security, zakładając, że blob SELinux znajduje się na przesunięciu zerowym. W konfiguracjach z wieloma modułami LSM (stosowanymi) to założenie jest nieprawdziwe, co może prowadzić do odczytu niewłaściwego bloba i przekazania nieprawidłowych wartości SID oraz klasy do kontroli AVC.

CVE-2025-48977
Średnie

Podatność typu Relative Path Traversal w interfejsie REST API Apache Ignite pozwala uwierzytelnionym użytkownikom na odczyt dowolnego pliku na serwerze za pomocą polecenia 'cmd=log' oraz odpowiednio skonstruowanej ścieżki logu. Problem dotyczy wersji Apache Ignite od 2.0.0 do 2.17.0.

CVE-2026-9807
Średnie

GitLab naprawił problem w GitLab CE/EE, który dotyczył wszystkich wersji od 18.9 przed 18.10.7, 18.11 przed 18.11.4 oraz 19.0 przed 19.0.1. W określonych warunkach zablokowany token dostępu do projektu mógł nadal uzyskiwać dostęp do prywatnych zasobów z powodu nieprawidłowego egzekwowania autoryzacji.

CVE-2026-9803
Średnie

W komponencie ClientRegistrationAuth w Keycloak wykryto podatność, która pozwala zdalnemu, nieuwierzytelnionemu atakującemu na wywołanie błędu ArrayIndexOutOfBoundsException poprzez wysłanie specjalnie spreparowanego żądania POST z nieprawidłowym nagłówkiem 'Authorization: Bearer' do dowolnego punktu końcowego rejestracji klienta. Powoduje to zwrócenie przez serwer błędu HTTP 500 i prowadzi do odmowy usługi (DoS).

CVE-2026-9802
Średnie

W Keycloak wykryto podatność, która przy włączonej opcji revokeRefreshToken=true i użyciu trwałego przechowywania sesji, umożliwia atakującemu ponowne użycie unieważnionego tokena odświeżania po restarcie serwera. Atakujący, który wcześniej przechwycił token odświeżania ofiary, może uzyskać nieautoryzowany dostęp do jej konta.

CVE-2026-9801
Średnie

W Keycloak wykryto podatność umożliwiającą atakującemu z wysokimi uprawnieniami (np. administratorowi domeny konfigurującemu złośliwy serwer LDAP lub osobie atakującej kompromitującej nadrzędny serwer LDAP) wywołanie błędu OutOfMemoryError poprzez wysłanie nieprawidłowej odpowiedzi polityki haseł LDAP podczas żądania uwierzytelnienia. Prowadzi to do zatrzymania maszyny wirtualnej Java (JVM) Keycloak i odmowy usługi (DoS) dla wszystkich domen na zaatakowanym węźle.

CVE-2026-9798
Średnie

W Keycloak, rozwiązaniu do zarządzania tożsamością i dostępem, znaleziono lukę. Atakujący z ważnymi poświadczeniami klienta może wykorzystać przepływ CIBA, aby obejść ochronę przed atakami typu brute-force, gdy konto użytkownika jest tymczasowo zablokowane z powodu wielokrotnych nieudanych prób logowania.

CVE-2026-9673
Średnie

Podatność w bibliotece json-2-csv w wersjach od 3.15.0 do 5.5.10 umożliwia wstrzyknięcie formuł CSV przez ominięcie opcji preventCsvInjection. Atakujący może wstrzyknąć złośliwe formuły do plików CSV, które wykonują się po otwarciu w arkuszach kalkulacyjnych.

CVE-2026-9796
Średnie

W Keycloak odkryto lukę, która pozwala uwierzytelnionemu administratorowi z rolą `manage-clients` wykorzystać podatność typu Time-of-check to time-of-use (TOCTOU) w kontrolach ról administracyjnych opartych na nazwach. Umożliwia to atakującemu eskalację uprawnień do roli `realm-admin` dla wszystkich użytkowników w danym realmie.

CVE-2026-9794
Średnie

W Keycloak wykryto podatność, która pozwala zdalnemu, nieuwierzytelnionemu atakującemu na wysyłanie specjalnie spreparowanych żądań SOAP do punktu końcowego SAML ECP. Poprzez obserwację różnych komunikatów błędów w odpowiedziach, atakujący może określić typ protokołu klienta, co prowadzi do ujawnienia informacji.

CVE-2026-9793
Średnie

W Keycloak znaleziono lukę, która pozwala na nieprawidłowe przetwarzanie niesygnowanych roszczeń w przypadku przesłania zaszyfrowanego obiektu żądania JSON Web Encryption (JWE). Może to prowadzić do obejścia skonfigurowanej polityki sygnatury i umożliwić zdalnemu atakującemu przesyłanie nieautoryzowanych roszczeń, co narusza integralność danych w procesie autoryzacji OpenID Connect (OIDC).

CVE-2026-9792
Średnie

W Keycloak wykryto podatność w politykach klienta (Client Policies) w komponencie `org.keycloak.protocol.oidc`. Gdy używane są określone dostawcy warunków (client-type, client-roles, client-attributes, client-scopes) do egzekwowania ograniczeń bezpieczeństwa, executor `reject-ropc-grant` jest cicho pomijany. Pozwala to nieuwierzytelnionemu zdalnemu atakującemu uzyskać tokeny poprzez grant Resource Owner Password Credentials (ROPC), nawet gdy polityka wyraźnie blokuje takie działanie.

CVE-2026-9791
Średnie

W Keycloak wykryto podatność, która umożliwia uwierzytelnionemu użytkownikowi z członkostwem w organizacji ujawnienie metadanych organizacji w tokenach OIDC lub poprzez API konta, nawet po wyłączeniu funkcji Organizacji przez administratora. Może to prowadzić do błędnych decyzji autoryzacyjnych na serwerach zasobów.

CVE-2026-44720
Średnie

W OpenLearnX, platformie do nauki i oceniania, zidentyfikowano krytyczną podatność na uwierzytelnianie przed wersją 2.0.4, która mogła umożliwić nieautoryzowany dostęp do kont użytkowników w określonych warunkach. Podatność ta została naprawiona w wersji 2.0.4.

CVE-2026-44247
Średnie

Volcano to system planowania wsadowego natywny dla Kubernetes. W wersjach przed v1.14.2, v1.13.3 i v1.12.4 serwer webhook Volcano nie wymusza limitu rozmiaru dla przychodzących ciał żądań HTTP, co pozwala na wysyłanie dowolnie dużych żądań przez pod'y w klastrze.

CVE-2026-21785
Średnie

Błędnie skonfigurowana Polityka Bezpieczeństwa Treści (CSP) w HCL BigFix Remote Control Server WebUI (wersje 10.1.0.0442 i wcześniejsze) nie definiuje dyrektyw bez zapasowych opcji, co umożliwia atakującym obejście zamierzonych ograniczeń bezpieczeństwa i ładowanie nieautoryzowanych zasobów.

CVE-2026-9759
Średnie

Wersje Wireshark od 4.6.0 do 4.6.5 oraz od 4.4.0 do 4.4.15 zawierają błąd w analizatorze protokołu ROHC, który może prowadzić do awarii aplikacji. Wykorzystanie tej podatności może skutkować odmową usługi.

CVE-2026-44681
Średnie

Authlib to biblioteka Pythona, która buduje serwery OAuth i OpenID Connect. W wersjach przed 1.6.12 i 1.7.1 występowała nieautoryzowana otwarta przekierowanie w punkcie autoryzacji OpenIDImplicitGrant i OpenIDHybridGrant, co pozwalało zdalnemu atakującemu na wymuszenie wydania przez serwer autoryzacji HTTP 302 do wybranego przez atakującego adresu URL.

CVE-2026-42877
Średnie

FacturaScripts to oprogramowanie do księgowości i fakturowania typu open source. W wersjach 2025.92 i wcześniejszych występuje podatność typu Cross-Site Scripting (XSS) w modalnym oknie wyszukiwania produktów, która pozwala na wykonanie dowolnego kodu JavaScript w przeglądarkach innych użytkowników.

CVE-2026-45046
Średnie

Gryph, który zapewnia warstwę bezpieczeństwa dla agentów kodowania AI, przed wersją 0.7.0, implementował poziomy logowania, które określały, jakie treści są rejestrowane w lokalnej bazie danych sqlite. W rzeczywistości domyślny poziom logowania to standardowy, co prowadzi do rejestrowania potencjalnie wrażliwych treści plików.

PoprzedniaStrona 211 z 558Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS