Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.13)

CVE-2026-42526
Średnie

W backendach AWS Secrets Manager i SSM Parameter Store w `apache-airflow-providers-amazon` przed wersją 9.28.0, logika zakresu zespołu mogła rozwiązać `conn_id` zawierający `/` (np. `"my_team/conn"`) do tej samej ścieżki co sekret innego zespołu, gdy wywołujący nie miał kontekstu zespołu. Uprzywilejowany wywołujący bez kontekstu zespołu mógł pobrać sekret innego zespołu, tworząc kolidujący `conn_id`.

CVE-2026-34154
Średnie

Discourse to otwartoźródłowa platforma dyskusyjna. W wersjach przed 2026.1.4, 2026.3.1, 2026.4.1 i 2026.5.0-latest.1, występowała podatność w wtyczce discourse-subscriptions, która pozwalała użytkownikom uzyskać dostęp do grup objętych subskrypcją bez dokonania płatności. Problem został naprawiony w wymienionych wersjach.

CVE-2025-40904
Średnie

W funkcjonalności Smart Polling odkryto podatność na wstrzykiwanie HTML, spowodowaną niewłaściwą walidacją parametru wejściowego. Użytkownik z ograniczonymi uprawnieniami może przesłać złośliwe strategie zdalne zawierające tagi HTML, które są renderowane w przeglądarce ofiary.

CVE-2025-40903
Średnie

W funkcjonalności przywracania archiwum odkryto podatność na wstrzykiwanie HTML, spowodowaną niewłaściwą walidacją parametru wejściowego. Użytkownik z uprawnieniami administratora może zdefiniować złośliwy harmonogram przywracania zawierający tagi HTML.

CVE-2025-40902
Średnie

Wykryto podatność na wstrzykiwanie HTML w funkcjonalności użytkowników z powodu niewłaściwej walidacji parametru wejściowego. Użytkownik z uprawnieniami administratora może stworzyć złośliwego użytkownika, którego nazwa zawiera tagi HTML, co prowadzi do potencjalnych ataków phishingowych.

CVE-2025-40901
Średnie

W funkcjonalności Menedżera Poświadczeń odkryto podatność na wstrzyknięcie HTML, spowodowaną niewłaściwą walidacją parametru wejściowego. Użytkownik z uprawnieniami administratora może zdefiniować złośliwą tożsamość zawierającą tagi HTML, co prowadzi do potencjalnych ataków phishingowych.

CVE-2025-40900
Średnie

W funkcjonalności raportów odkryto podatność na wstrzykiwanie szablonów Angulara z powodu niewłaściwej walidacji parametru wejściowego. Użytkownik z uprawnieniami do raportów może zdefiniować złośliwy raport zawierający ładunek szablonu Angulara.

CVE-2026-4630
Średnie

W Keycloak znaleziono lukę, która pozwala uwierzytelnionemu klientowi wykorzystać podatność Insecure Direct Object Reference (IDOR) w punkcie końcowym API Ochrony Usług Autoryzacji. Znając unikalny identyfikator zasobu (UUID) należący do innego Serwera Zasobów w tym samym obszarze, klient może obejść kontrole autoryzacji.

CVE-2026-43492
Średnie

W jądrze Linux wykryto podatność na niedomiar liczby całkowitej w funkcji mpi_read_raw_from_sgl() w bibliotece MPI. Błąd występuje, gdy scatterlist zajmuje więcej bajtów niż parametr 'nbytes', a pierwsze 'nbytes + 1' bajtów jest zerowych, co prowadzi do pętli nieskończonej i DoS.

CVE-2026-43491
Średnie

W jądrze Linux wykryto podatność w module net: qrtr: ns, która pozwalała na nieograniczoną rejestrację serwerów na węzeł. Złośliwy klient może wysłać lawinę komunikatów NEW_SERVER, co prowadzi do wyczerpania pamięci systemowej. Problem został rozwiązany poprzez ograniczenie maksymalnej liczby rejestracji do 256 na węzeł oraz dodanie limitowania szybkości komunikatów błędów.

CVE-2026-37982
Średnie

W Keycloak odkryto lukę w uwierzytelnianiu, która pozwala zdalnemu atakującemu na ponowne wykorzystanie tokenów `ExecuteActionsActionToken` w procesie WebAuthn. Atakujący, przechwytując link e-mailowy do wykonania akcji, może zarejestrować własny uwierzytelniający w koncie ofiary.

CVE-2026-37981
Średnie

W Keycloak odkryto lukę w kontroli dostępu, która pozwala zdalnemu uwierzytelnionemu użytkownikowi, posiadającemu przynajmniej jeden zasób zarządzany przez użytkownika (UMA), na enumerację i zbieranie danych osobowych wszystkich użytkowników w danym realmie. Wysyłając odpowiednio skonstruowane żądania z dowolnymi nazwami użytkowników lub adresami e-mail, można uzyskać pełne obiekty profilu dla niepowiązanych użytkowników.

CVE-2026-37979
Średnie

W Keycloak odkryto lukę w kontroli dostępu, która pozwala poufnemu klientowi na ominięcie ograniczeń dotyczących odbiorców w punkcie introspekcji tokenów OpenID Connect (OIDC). Klient kontrolowany przez atakującego, posiadający ważne poświadczenia, może uzyskać dostęp do wrażliwych informacji zawartych w tokenach przeznaczonych dla innych serwerów zasobów.

CVE-2026-37978
Średnie

W Keycloak znaleziono lukę, która pozwala administratorowi o niskich uprawnieniach z rolą 'view-clients' na wykorzystanie punktów końcowych API Admin 'evaluate-scopes' z dowolnym identyfikatorem użytkownika. Ta podatność umożliwia wyciek danych osobowych (PII) między rolami, co pozwala na nieautoryzowany dostęp do tożsamości użytkowników i ich uprawnień.

CVE-2026-8922
Średnie

W Keycloak wykryto błąd polegający na tym, że gdy skonfigurowane są zarówno polityki unieważniania `notBefore` na poziomie realm, jak i klienta, funkcja OIDC Introspection nie honoruje prawidłowo polityki realm. Powoduje to, że tokeny, które powinny być unieważnione, pozostają aktywne, co może prowadzić do nieautoryzowanego dostępu lub przedłużenia ważności sesji.

CVE-2026-47317
Średnie

Podatność na niekontrolowaną rekurencję w Samsung Open Source Escargot pozwala na nadmierne przydzielanie zasobów. Problem ten dotyczy wersji Escargot: 590345cc6258317c5da850d846ce6baaf2afc2d3.

CVE-2026-47316
Średnie

Podatność CVE-2026-47316 w Samsung Open Source Escargot wynika z niewłaściwego sprawdzania lub obsługi wyjątkowych warunków, co umożliwia manipulację danymi wejściowymi. Problem ten dotyczy wersji Escargot: 590345cc6258317c5da850d846ce6baaf2afc2d3.

CVE-2026-47315
Średnie

Podatność CVE-2026-47315 w Samsung Open Source Escargot polega na niewłaściwej weryfikacji nietypowych lub wyjątkowych warunków, co umożliwia manipulację danymi wejściowymi.

CVE-2026-47313
Średnie

Podatność w Samsung Open Source Escargot związana z alokacją pamięci z nadmierną wartością rozmiaru pozwala na nadmierną alokację. Problem dotyczy wersji Escargot: 590345cc6258317c5da850d846ce6baaf2afc2d3.

CVE-2026-47312
Średnie

W podatności CVE-2026-47312 występuje uwolnienie nieprawidłowego wskaźnika lub odniesienia w Samsung Open Source Escargot, co umożliwia manipulację buforem. Problem ten dotyczy wersji Escargot: 590345cc6258317c5da850d846ce6baaf2afc2d3.

PoprzedniaStrona 224 z 556Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS