Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.13)

CVE-2026-45081
Średnie

Frappe HR to otwartoźródłowe rozwiązanie do zarządzania zasobami ludzkimi. Przed wersją 16.5.0, uwierzytelnieni pracownicy mogli uzyskać dostęp do szczegółów urlopów innych pracowników z powodu niewłaściwych kontroli autoryzacji.

CVE-2026-42328
Średnie

go-ipld-prime to implementacja specyfikacji InterPlanetary Linked Data (IPLD), która przed wersją 0.23.0 miała problem z dekodowaniem DAG-CBOR i DAG-JSON. Dekodery te nie miały limitu głębokości rekurencji, co prowadziło do przepełnienia stosu w przypadku głęboko zagnieżdżonych kolekcji.

CVE-2025-67903
Średnie

Klient Northern.tech Mender w wersji 5 przed 5.0.4 umożliwia obejście weryfikacji podpisu kryptograficznego. To może prowadzić do nieautoryzowanego dostępu do systemu.

CVE-2026-44353
Średnie

Streamlink to narzędzie CLI, które przesyła strumienie wideo z różnych usług do odtwarzacza wideo. W wersjach przed 8.4.0, parsery HLS i DASH w Streamlink nie weryfikowały schematu URI segmentów i innych zasobów, co pozwalało na wczytanie lokalnych plików z nieautoryzowanych źródeł.

CVE-2026-42081
Średnie

Free5GC to otwartoźródłowa implementacja rdzenia sieci 5G. W wersjach przed 4.2.2, AMF w Free5GC nie weryfikuje zdolności zabezpieczeń UE otrzymywanych w wiadomościach NGAP PathSwitchRequest, co pozwala złośliwemu gNB na nadpisanie tych wartości, prowadząc do odmowy usługi przenoszenia dla dotkniętych UE.

CVE-2026-38931
Średnie

W komponencie /admin/config-module.php projektu simplephp (commit 5184cff) odkryto podatność na trwały atak XSS. Atakujący może wstrzyknąć złośliwy kod JavaScript, który zostanie wykonany w przeglądarkach administratorów.

CVE-2026-38930
Średnie

W systemie OpenRapid RapidCMS w wersji 1.3.1 wykryto obejście uwierzytelnienia w komponencie /template/default/menu.php. Podatność jest wykorzystywana poprzez wstrzyknięcie spreparowanego ładunku SQL do parametru ciasteczka 'name'.

CVE-2025-70116
Średnie

W GPAC MP4Box występuje dereferencja wskaźnika NULL podczas analizy niektórych skróconych plików MP4. Nieznany lub nieprawidłowy wpis stsd może prowadzić do brakujących pól deskryptora, co skutkuje wywołaniem strlen() na wskaźniku NULL i powoduje awarię.

CVE-2026-48926
Średnie

Wtyczka Jenkins Job Import w wersji 143.v044a_2e819b_27 i wcześniejszych nie przeprowadza weryfikacji uprawnień w jednym z punktów końcowych HTTP, co pozwala atakującym z uprawnieniami Overall/Read na enumerację identyfikatorów poświadczeń przechowywanych w Jenkins.

CVE-2026-48917
Średnie

Wtyczka LDAP dla Jenkins w wersji 807.v7d7de30930cf i wcześniejszych deserializuje dane z odniesień LDAP bez walidacji. Może to prowadzić do nieautoryzowanego dostępu lub wykonania złośliwego kodu.

CVE-2026-48916
Średnie

Wtyczka LDAP dla Jenkins w wersji 807.v7d7de30930cf i wcześniejszych obsługuje odwołania LDAP. Może to prowadzić do nieautoryzowanego dostępu do zasobów w systemie.

CVE-2026-48545
Średnie

Gradio przed wersją 6.15.0 zawiera podatność na wstrzykiwanie ciasteczek, która pozwala zdalnym atakującym na przeprowadzenie ataku typu cross-Space session fixation. Atakujący mogą wykorzystać wspólny modułowy klient HTTP, aby wprowadzić ciasteczko domeny nadrzędnej, które jest przechowywane i automatycznie odtwarzane w kolejnych żądaniach proxy do innych legalnych Spaces.

CVE-2026-45571
Średnie

go-git to rozszerzalna biblioteka implementacji Gita napisana w czystym Go. Przed wersjami 5.19.1 i 6.0.0-alpha.4 występował problem z walidacją ścieżek, który mógł pozwolić na wpływanie na pliki poza zamierzonym celem checkoutu, w tym na katalog .git repozytorium.

CVE-2026-44972
Średnie

GuardDog to narzędzie CLI służące do identyfikacji złośliwych pakietów PyPI. W wersjach od 2.6.0 do 2.9.0, GuardDog zawiera kontrolowane przez atakującego nazwy plików, lokalizacje plików, komunikaty i fragmenty kodu w domyślnym czytelnym dla ludzi wyjściu, nie stosując ucieczki znaków kontrolnych terminala.

CVE-2026-44839
Średnie

RabbitMQ, broker wiadomości i strumieniowania, ma podatność, która występuje w wersjach od 3.7.0 do przed 4.1.2 oraz 4.0.13. Podatność ta została naprawiona w wersjach 4.1.2 i 4.0.13.

CVE-2026-9704
Średnie

W Keycloak wykryto podatność, w której uwierzytelniony użytkownik z niskimi uprawnieniami może wysłać zbyt długi token JWT (JSON Web Token) do punktu końcowego TokenEndpoint. Gdy token przekracza limit 4000 znaków, jest cicho odrzucany, a system przełącza się na uwierzytelnianie klienta, co pozwala atakującemu uzyskać uprawnienia konta usługi klienta i eskalować swoje przywileje.

CVE-2026-9617
Średnie

PostgreSQL Anonymizer zawiera podatność, która pozwala użytkownikowi uzyskać uprawnienia superużytkownika poprzez stworzenie tabeli i umieszczenie złośliwego kodu w identyfikatorze kolumny. Jeśli superużytkownik wywoła funkcję k-anonimizacji, złośliwy kod zostanie wykonany z uprawnieniami superużytkownika.

CVE-2026-9035
Średnie

IBM Aspera High-Speed Transfer Endpoint w wersjach od 3.7.4 do 4.4.7 Fix Pack 1 oraz IBM Aspera High-Speed Transfer Server w tych samych wersjach są podatne na potencjalne nieautoryzowane odczyty plików w komponencie asperahttpd. Użytkownik z autoryzacją może wykorzystać tę podatność do uzyskania dostępu do plików w lokalnym magazynie serwera, do których nie powinien mieć dostępu.

CVE-2026-8405
Średnie

Funkcja 'Long Term Retention' (LTR) w IBM Guardium Data Protection w wersjach 12.2.1 i 12.2.2 może ujawniać wrażliwe dane uwierzytelniające w trybie debugowania. To stwarza ryzyko nieautoryzowanego dostępu do poufnych informacji.

CVE-2026-7254
Średnie

IBM OPENBMC w wersjach FW1110.00 do FW1110.11 jest podatny na ataki typu denial of service (DoS) ze strony nieautoryzowanych użytkowników sieciowych.

PoprzedniaStrona 212 z 558Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS