Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.13)

CVE-2026-48710
ŚrednieEPSS 70%

W Starlette przed wersją 1.0.1 nagłówek HTTP `Host` nie był walidowany przed użyciem do rekonstrukcji `request.url`. Algorytm routingu opiera się na surowej ścieżce HTTP, podczas gdy `request.url` jest odtwarzany z nagłówka `Host`, co przy złośliwym nagłówku może spowodować różnicę między `request.url.path` a faktycznie żądaną ścieżką. Pozwala to na ominięcie zabezpieczeń w oprogramowaniu pośredniczącym i punktach końcowych, które polegają na `request.url` zamiast na surowej ścieżce z `scope`.

CVE-2026-44903
Średnie

Prometheus to otwartoźródłowy system monitorowania i baza danych szeregów czasowych. W wersjach od 2.49.0 do przed 3.5.3 oraz 3.11.3, w przestarzałym interfejsie webowym serwera Prometheus, wartości etykiet histogramu nie są odpowiednio zabezpieczane przy wstawianiu ich do HTML, co umożliwia atakującemu wykonanie JavaScriptu w przeglądarce użytkownika Prometheus.

CVE-2026-44788
Średnie

SharpCompress to w pełni zarządzana biblioteka C# do obsługi różnych typów i formatów kompresji. W wersjach 0.47.4 i wcześniejszych występuje podatność na przejście ścieżki w metodzie IArchive.WriteToDirectory(), która pozwala złośliwemu archiwum na tworzenie katalogów poza zamierzonym katalogiem docelowym.

CVE-2026-44213
Średnie

Pakiet NuGet OpenTelemetry.Exporter.Instana przed wersją 1.1.0 nie weryfikował poprawności certyfikatów HTTPS/TLS podczas wysyłania telemetry do backendu Instana, gdy skonfigurowano proxy. To stwarza ryzyko, że atakujący może przechwycić dane telemetryczne oraz klucz API Instana.

CVE-2026-44896
Średnie

Mistune to parser Markdown w Pythonie, który w wersjach 3.2.0 i wcześniejszych ma lukę w funkcji render_figure() w pliku src/mistune/directives/image.py. Funkcja ta łączy opcje figclass i figwidth bez odpowiedniego zabezpieczenia, co prowadzi do możliwości wstrzyknięcia atrybutów i ataków XSS.

CVE-2026-44844
Średnie

Moduł eml_parser w wersjach przed 3.0.1 ma problem z nieograniczoną rekurencją w metodzie EmlParser.get_raw_body_text(), co może prowadzić do błędu RecursionError przy przetwarzaniu źle skonstruowanych plików EML z zagnieżdżonymi wiadomościami. Atakujący może wykorzystać tę podatność, dostarczając plik EML z około 120 zagnieżdżonymi częściami wiadomości/rfc822.

CVE-2026-44837
Średnie

view_component to framework do budowania wielokrotnego użytku, testowalnych i enkapsulowanych komponentów widoków w Ruby on Rails. W wersjach od 3.0.0 do 4.9.0, punkt wejścia testu systemowego kanonizuje ścieżkę pliku kontrolowaną przez użytkownika za pomocą File.realpath, a następnie sprawdza, czy rozwiązana ścieżka zaczyna się od ścieżki katalogu tymczasowego. To nie jest bezpieczna kontrola zawartości, ponieważ katalogi sąsiednie mogą dzielić ten sam prefiks ciągu.

CVE-2026-44836
Średnie

view_component to framework do budowania wielokrotnego użytku, testowalnych i enkapsulowanych komponentów widoków w Ruby on Rails. W wersjach od 3.0.0 do 4.9.0, trasa podglądu wyprowadza nazwę przykładu z URL i wywołuje ją za pomocą public_send, nie weryfikując, czy żądana metoda jest jedną z przykładów zdefiniowanych przez klasę podglądu.

CVE-2026-36239
Średnie

PbootCMS w wersji 3.2.11 zawiera podatność na wstrzykiwanie kodu w funkcji konfiguracji strony. Atakujący może wykorzystać tę lukę do zdalnego wykonania dowolnego kodu.

CVE-2026-7453
Średnie

Złośliwie skonstruowany plik WRL, przetwarzany przez Autodesk 3ds Max, może spowodować podatność na wyczerpanie stosu, co prowadzi do stanu odmowy usługi.

CVE-2026-7450
Średnie

Złośliwie skonstruowany plik PAR, przetwarzany przez Autodesk 3ds Max, może spowodować podatność na dereferencję wskaźnika NULL. Udana eksploitacja może doprowadzić do awarii aplikacji, co skutkuje stanem odmowy usługi.

CVE-2026-24197
Średnie

Sterownik wyświetlacza NVIDIA dla systemu Linux zawiera podatność w zarządzaniu partycjami Multi-Instance GPU (MIG), gdzie niebezpieczna domyślna inicjalizacja zasobów routingu pamięci może prowadzić do uszkodzenia danych lub zawieszenia podczas rekonfiguracji partycji.

CVE-2026-24182
Średnie

Sterownik wyświetlacza NVIDIA dla systemów Windows i Linux zawiera podatność, która pozwala atakującemu na ujawnienie zablokowanych zasobów sterownika. Udany atak może prowadzić do odmowy usługi.

CVE-2025-33221
Średnie

Sterownik wyświetlacza NVIDIA dla systemów Windows i Linux zawiera podatność w sterowniku jądra, która pozwala użytkownikowi na niewłaściwe przypisanie uprawnień do krytycznego zasobu. Udane wykorzystanie tej podatności może prowadzić do manipulacji danymi oraz odmowy usługi.

CVE-2026-45836
Średnie

W jądrze Linuxa wykryto podatność w stosie Bluetooth L2CAP, prowadzącą do dereferencji pustego wskaźnika w funkcji l2cap_sock_get_sndtimeo_cb(). Brakowało w niej sprawdzenia NULL, które jest już obecne w podobnych funkcjach l2cap_sock_resume_cb() i l2cap_sock_ready_cb().

CVE-2026-45835
Średnie

W jądrze Linux wykryto podatność w stosie Bluetooth L2CAP, polegającą na wyłuskaniu wskaźnika null (null-ptr-deref) w funkcji l2cap_sock_new_connection_cb(). Problem został załatany przez dodanie brakującego sprawdzenia wartości NULL, które było już obecne w podobnych funkcjach l2cap_sock_resume_cb() i l2cap_sock_ready_cb().

CVE-2026-45834
Średnie

W jądrze Linux wykryto podatność w stosie Bluetooth L2CAP, prowadzącą do dereferencji pustego wskaźnika w funkcji l2cap_sock_state_change_cb(). Problem został rozwiązany przez dodanie zabezpieczenia przed wartością NULL, analogicznie do istniejących już zabezpieczeń w funkcjach l2cap_sock_resume_cb() i l2cap_sock_ready_cb().

CVE-2025-36221
Średnie

IBM Cloud Pak for Data System w wersji Cyclops 11.3.0.2 oraz w Interim Fix 002 używa domyślnych haseł z procesu produkcji podczas instalacji. To może umożliwić atakującemu ominięcie procesu uwierzytelniania.

CVE-2025-36220
Średnie

IBM Cloud Pak for Data System w wersji Cyclops 11.3.0.2 oraz Interim Fix 002 jest podatny na atak typu SQL injection. Zdalny atakujący może wysłać specjalnie przygotowane zapytania SQL, co może umożliwić mu przeglądanie, dodawanie, modyfikowanie lub usuwanie informacji w bazie danych.

CVE-2025-36148
Średnie

IBM Financial Transaction Manager dla usług SWIFT na wiele platform w wersjach od 3.2.4.0 do 3.2.4.15 jest podatny na ataki typu cross-site scripting. Ta podatność umożliwia nieautoryzowanemu atakującemu osadzenie dowolnego kodu JavaScript w interfejsie webowym, co może prowadzić do ujawnienia danych uwierzytelniających w zaufanej sesji.

PoprzedniaStrona 221 z 556Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS