Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.13)

CVE-2026-8830
Średnie

W Keycloak znaleziono lukę, która pozwala uwierzytelnionemu użytkownikowi ominąć skonfigurowane polityki WebAuthn podczas rejestracji poświadczeń poprzez manipulację kodem JavaScript po stronie klienta. Dzieje się tak, ponieważ serwerowa metoda processAction() nie weryfikuje, czy parametry nowo utworzonego poświadczenia, takie jak algorytmy klucza publicznego, są zgodne z politykami WebAuthn zdefiniowanymi dla domeny.

CVE-2026-47309
Średnie

Podatność na niekontrolowaną rekurencję w Samsung Open Source Escargot umożliwia przetwarzanie zbyt dużych ładunków danych zserializowanych. Problem ten dotyczy wersji Escargot: 590345cc6258317c5da850d846ce6baaf2afc2d3.

CVE-2026-47308
Średnie

Podatność związana z dereferencją wskaźnika NULL w Samsung Open Source Walrus umożliwia manipulację wskaźnikami. Problem ten dotyczy wersji Walrus: f339b8ee4ea701772e8ae640b3d1b12ac02b1ae9.

CVE-2026-47307
Średnie

Podatność typu dereferencja wskaźnika NULL w Samsung Open Source Walrus umożliwia atakującemu spowodowanie odmowy usługi poprzez specjalnie przygotowany moduł WebAssembly zawierający głęboko zagnieżdżone instrukcje.

CVE-2026-33514
Średnie

Discourse to otwartoźródłowa platforma dyskusyjna. W wersjach przed 2026.1.4, 2026.3.1, 2026.4.1 i 2026.5.0-latest.1, uwierzytelniony użytkownik na instancji Discourse z włączoną funkcją szablonów formularzy może odczytać nazwę i strukturalną zawartość szablonów formularzy, które są przeznaczone wyłącznie dla kategorii, do których nie ma uprawnień dostępu.

CVE-2026-32244
Średnie

Discourse to otwartoźródłowa platforma dyskusyjna. W wersjach wcześniejszych niż 2026.1.4, 2026.3.1, 2026.4.1 oraz 2026.5.0-latest.1, przestarzałe pamięci podręczne podsumowań AI mogą ujawniać usunięte treści anonimowym i nieuprzywilejowanym użytkownikom, którzy nie mają możliwości regeneracji podsumowań.

CVE-2026-47090
Średnie

W wersjach Claude HUD do 0.0.12, poprawionych w commicie 234d9aa, sekwencje ucieczki hiperlinków OSC 8 są konstruowane z użyciem surowych wartości cwd i branchUrl bez usuwania znaków kontrolnych lub kodowania osadzonych wartości. Umożliwia to atakującym wstrzykiwanie dowolnych kodów ANSI do sesji terminalowych.

CVE-2026-20685
Średnie

Podatność umożliwia atakującemu w uprzywilejowanej pozycji sieciowej wyciek wrażliwych informacji. Problem związany z obsługą ścieżek został rozwiązany poprzez poprawioną walidację.

CVE-2026-41949
Średnie

Dify przed wersją 1.14.2 zawiera lukę w autoryzacji w punkcie końcowym podglądu plików, która pozwala każdemu uwierzytelnionemu użytkownikowi na odczytanie do 3,000 znaków z dowolnego przesłanego dokumentu, używając jedynie UUID pliku. Atakujący mogą uzyskać dostęp do końcowego punktu /console/api/files/{file_id}/preview, aby wydobyć wrażliwe treści z dokumentów bez weryfikacji własności lub uprawnień do przestrzeni roboczej.

CVE-2026-3471
Średnie

Aplikacje Mattermost Desktop w wersjach <=6.1, 6.0.1 oraz 5.4.13.0 nie zapobiegają ładowaniu nieprawidłowego URL w oknie pop-up, co pozwala złośliwemu właścicielowi serwera na wielokrotne awarie aplikacji poprzez wywołanie {{window.open('javascript:alert()');}}.

CVE-2026-3117
Średnie

Wtyczki Mattermost w wersjach <=11.5, 11.1.5, 10.13.11 oraz 11.3.4.0 nieprawidłowo sprawdzają uprawnienia podczas przetwarzania poleceń w wtyczce Gitlab. To pozwala zwykłym użytkownikom na odinstalowanie instancji lub skonfigurowanie połączeń webhook za pomocą poleceń {{gitlab instance {option}}} lub {{/gitlab webhook {option}}}.

CVE-2026-6342
Średnie

Wersje wtyczek Mattermost do 11.5, 11.1.5, 10.13.11 oraz 11.3.4.0 nie sprawdzają poprawnie ważnych przestrzeni nazw, co pozwala użytkownikom wtyczek na tworzenie subskrypcji do grup, które nie zostały zatwierdzone, poprzez tworzenie grup o tym samym prefiksie co grupa zatwierdzona.

CVE-2026-6341
Średnie

Wersje wtyczek Mattermost do 11.5, 11.1.5, 10.13.11 oraz 11.3.4.0 nie mają odpowiednich kontroli na poziomie API dotyczących grup, do których użytkownik może tworzyć zgłoszenia lub dodawać komentarze. Umożliwia to użytkownikowi, będącemu członkiem wielu grup, tworzenie zgłoszeń w zablokowanej grupie za pomocą bezpośrednich żądań API.

CVE-2026-46719
Średnie

Wersje Net::Statsd::Lite przed 0.9.0 dla Perla umożliwiały wstrzykiwanie metryk. Nazwy metryk nie były sprawdzane pod kątem nowych linii, dwukropków ani rur, co pozwalało na wstrzykiwanie dodatkowych metryk z niezaufanych źródeł.

CVE-2026-45736
ŚrednieEPSS 50%

W bibliotece WebSocket dla Node.js (ws) przed wersją 8.20.1 wykryto podatność na ujawnienie niezainicjalizowanej pamięci podczas zamykania połączenia z przekazaniem obiektu TypedArray jako argumentu reason.

CVE-2026-20210
Średnie

Podatność w interfejsie webowym Cisco Catalyst SD-WAN Manager (dawniej SD-WAN vManage) umożliwia uwierzytelnionemu, zdalnemu atakującemu z uprawnieniami tylko do odczytu modyfikację konfiguracji i wykonywanie nieautoryzowanych działań. Problem wynika z braku maskowania wrażliwych informacji w konfiguracjach i szablonach urządzeń.

CVE-2026-20209
Średnie

Podatność w interfejsie webowym Cisco Catalyst SD-WAN Manager (dawniej SD-WAN vManage) umożliwia uwierzytelnionemu atakującemu z uprawnieniami tylko do odczytu podniesienie swoich uprawnień do poziomu wysokiego. Problem wynika z zapisywania poufnych informacji sesji w dziennikach audytu.

CVE-2026-44374
Średnie

Backstage to otwarte środowisko do budowania portali deweloperskich. W wersjach przed 0.6.11, nieprzetworzone encje w punktach końcowych @backstage/plugin-catalog-backend-module-unprocessed nie wymuszają sprawdzania uprawnień, co pozwala każdemu uwierzytelnionemu użytkownikowi na dostęp do nieprzetworzonych rekordów encji, niezależnie od ich właściciela.

CVE-2026-21730
Średnie

Verba jest podatna na atak typu Stored Cross-Site Scripting (XSS) w mechanizmie logowania. Nieautoryzowany atakujący może wprowadzić złośliwy ładunek XSS w polu nazwy użytkownika, który zostanie zapisany w logach aplikacji.

CVE-2026-6478
Średnie

W procesie uwierzytelniania PostgreSQL wykryto ukryty kanał czasowy przy porównywaniu haseł zahaszowanych algorytmem MD5. Umożliwia on atakującemu odtworzenie danych uwierzytelniających wystarczających do zalogowania się. Podatność nie dotyczy domyślnego schematu scram-sha-256, ale może występować w bazach danych, które zachowały starsze hasła MD5 z poprzednich wersji.

PoprzedniaStrona 225 z 556Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS