Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.15)

CVE-2026-50129
Wysokie

Mastodon przed wersjami 4.5.11, 4.4.18 i 4.3.24 zawiera podatność typu DoS spowodowaną brakiem obsługi wyjątków w sanitarze matematycznym. Złośliwe węzły <math> mogą prowadzić do awarii całego serwera lub usług użytkowników, w zależności od interakcji z tymi węzłami.

CVE-2026-50128
Średnie

Mastodon, serwer społecznościowy oparty na ActivityPub, ma lukę w wersjach od 4.3.0 do 4.5.11 oraz 4.4.18, która pozwala na modyfikację wartości attributionDomains w podpisanych aktywnościach. Błąd w definicji tego terminu uniemożliwia skuteczne weryfikowanie podpisów Linked Data.

CVE-2026-49278
Średnie

W punkcie końcowym visitors.info w Rocket.Chat zwracany jest token uwierzytelniający w odpowiedzi API. Nie ma uzasadnionego przypadku użycia dla obecności tego tokena w odpowiedzi, a jego wyciek stanowi zagrożenie bezpieczeństwa. Podatność została załatana w wersjach 8.5.0, 8.4.2, 8.3.4, 8.2.4, 8.1.5, 8.0.6, 7.13.8 oraz 7.10.12.

CVE-2026-49277
Niskie

Podatność w Rocket.Chat przed wersjami 8.5.0, 8.4.2, 8.3.4, 8.2.4, 8.1.5, 8.0.6, 7.13.8 i 7.10.12 polega na braku unieważnienia tokenów OAuth (zarówno access, jak i refresh) po dezaktywacji użytkownika. Dezaktywowany użytkownik może nadal używać istniejącego tokena dostępu lub wygenerować nowy token na podstawie posiadanego tokena odświeżania.

CVE-2026-47733
Średnie

W wersjach przed 8.5.0 komponent ImageElement w Rocket.Chat renderuje wartości src kontrolowane przez użytkownika bez sanitizacji protokołów. Umożliwia to wstawienie złośliwego URL z protokołem javascript:, co może prowadzić do wykonania dowolnego kodu JavaScript w sesji użytkownika.

CVE-2026-47267
Wysokie

Gogs to otwartoźródłowa usługa Git hostowana samodzielnie. W wersjach przed 0.14.3, poprawka dla CVE-2022-1285 uniemożliwiała dodawanie webhooków lub uruchamianie ich z adresami URL, których nazwa hosta rozwiązuje się w localCIDRs. Niemniej jednak, webhooki nadal podążają za przekierowaniami, co pozwala na dostęp do nazw hostów wewnątrz localCIDRs.

CVE-2026-46423
Krytyczne

Podatność w Rocket.Chat przed wersjami 8.5.0, 8.4.1, 8.3.3, 8.2.3, 8.1.4, 8.0.5, 7.13.7 i 7.10.11 powoduje, że implementacja dostawcy usług SAML pomija walidację podpisów odpowiedzi i asercji SAML, gdy pole certyfikatu IdP jest puste. Funkcja verifySignatures wykonuje wczesny powrót, gdy serviceProviderOptions.cert jest fałszywe, co jest domyślnym stanem ustawienia.

CVE-2026-45757
Niskie

Podatność w Rocket.Chat umożliwia dezaktywowanym użytkownikom (przez funkcję users.deactivateIdle) dalsze korzystanie z już wydanych tokenów logowania. Oznacza to, że użytkownik oznaczony przez administratora jako nieaktywny z powodu bezczynności może nadal uzyskiwać dostęp do uwierzytelnionych punktów końcowych REST przy użyciu starego tokena.

CVE-2026-45689
Krytyczne

Nieuwierzytelniony atakujący może uzyskać ważny token OAuth dla dowolnego użytkownika Rocket.Chat, wysyłając pojedyncze żądanie HTTP POST z operatorami zapytań MongoDB do endpointu /oauth/token. Serwer OAuth2 nie sprawdza, czy parametry grantu są ciągami znaków, co pozwala na podstawienie wartości takich jak {"$ne": null} i otrzymanie tokena dostępu dla pierwszego dopasowanego użytkownika.

CVE-2026-45688
Krytyczne

W Rocket.Chat przed wersjami 8.5.0, 8.4.1, 8.3.3, 8.2.3, 8.1.4, 8.0.5, 7.13.7 i 7.10.11, procedura logowania CAS przekazuje wartość `credentialToken` dostarczoną przez klienta bezpośrednio do zapytania MongoDB `findOne({_id: ...})` bez sprawdzania typu w czasie wykonania. Nieuwierzytelniony atakujący może zastąpić oczekiwany ciąg znaków tokena operatorem zapytania NoSQL (np. `{"$gt": ""}`), co powoduje dopasowanie pierwszego nieprzedawnionego dokumentu w kolekcji `credential_tokens` i całkowite ominięcie weryfikacji biletu CAS.

CVE-2026-45687
Wysokie

Podatność w Rocket.Chat przed wersjami 8.5.0, 8.4.1, 8.3.3, 8.2.3, 8.1.4, 8.0.5, 7.13.7 i 7.10.11 pozwala atakującemu na modyfikację dowolnego pola w swoim rekordzie przesłanego pliku. Dzieje się tak, ponieważ metoda DDP sendFileMessage przekazuje cały obiekt pliku do Uploads.updateFileComplete, który scala go bezpośrednio z aktualizacją MongoDB $set za pomocą Object.assign, bez listy dozwolonych pól.

CVE-2026-45677
Wysokie

Rocket.Chat przed wersją 8.5.0 nie weryfikuje podpisu w wiadomościach LogoutRequest w integracji SAML. Nieautoryzowany atakujący może stworzyć fałszywe żądanie wylogowania, co prowadzi do natychmiastowego zakończenia sesji ofiary.

CVE-2026-33543
Krytyczne

FOSSBilling w wersjach 0.7.2 i wcześniejszych posiada podatność w API gościa, która pozwala na tworzenie nowych kont administratorów mimo istnienia już jednego administratora. Błąd w sprawdzaniu istnienia administratora umożliwia atakującemu ominięcie zabezpieczeń.

CVE-2026-33235
Wysokie

AutoGPT, platforma do automatyzacji procesów, ma podatność na atak typu Denial of Service (DoS) w wersjach przed 0.6.52. Blok Fill Text Template nie ogranicza złożoności obliczeniowej ani czasu wykonania wyrażeń, co pozwala atakującemu na wprowadzenie kosztownych obliczeniowo wyrażeń Python/Jinja2, prowadząc do zawieszenia lub awarii systemu.

CVE-2026-32315
ŚrednieEPSS 85%

motionEye (mEye) to interfejs online dla oprogramowania do monitoringu wideo, które wykrywa ruch. Wersje przed 0.44.0 tworzą plik konfiguracyjny /etc/motioneye/motion.conf z uprawnieniami 644, co pozwala na jego odczyt przez każdego lokalnego użytkownika, ujawniając wrażliwe dane, w tym hasz hasła administratora.

CVE-2026-31978
Średnie

motionEye (mEye) to interfejs online dla oprogramowania do monitoringu wideo, które wykrywa ruch. Wersje przed 0.44.0 są podatne na atak typu path traversal w punktach końcowych API dla zdjęć i filmów, co pozwala uwierzytelnionemu użytkownikowi na odczyt dowolnych plików z systemu plików.

CVE-2026-25119
WysokieEPSS 54%

Gogs to otwartoźródłowa usługa Git, która przed wersją 0.14.3 akceptowała nagłówek uwierzytelniający bez weryfikacji, czy żądanie pochodzi z zaufanego proxy odwrotnego. To pozwalało atakującym na podszywanie się pod użytkowników lub automatyczne tworzenie kont.

CVE-2026-1840
Wysokie

Interfejs internetowy Aclara Metrum Cellular jest podatny na nieautoryzowany dostęp z powodu braku kontroli uwierzytelniania w krytycznych funkcjach systemowych. Ta luka umożliwia atakującym modyfikację ustawień konfiguracyjnych oraz wywoływanie restartów systemu bez ograniczeń.

CVE-2026-13208
Średnie

W KubeVirt znaleziono lukę w serwerze powiadomień domeny virt-handler. Procedury obsługi gRPC dla HandleDomainEvent i HandleK8SEvent pobierają tożsamość VMI (przestrzeń nazw/nazwa) wyłącznie z treści żądania, bez weryfikacji jej względem źródła połączenia. Każdy proces virt-launcher łączy się przez gniazdo potoku per-VMI, ale żaden znacznik tożsamości nie jest propagowany ze ścieżki potoku do procedur obsługi serwera.

CVE-2026-13201
Wysokie

W pakiecie safepath projektu KubeVirt, używanym przez komponent virt-handler, wykryto lukę w funkcji OpenAtNoFollow. Funkcja ta używa flag O_PATH|O_NOFOLLOW do uzyskania deskryptora pliku, ale późniejsze operacje rozwijają ścieżkę przez /proc/self/fd/N z użyciem wywołań systemowych podążających za dowiązaniami symbolicznymi. Gdy liść ścieżki jest dowiązaniem symbolicznym, jądro je dereferencjonuje, omijając zamierzoną ochronę przed podążaniem za dowiązaniami.

PoprzedniaStrona 214 z 4501Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS