Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.13)

CVE-2026-44919
Średnie

W OpenStack Ironic w wersjach do 35.x przed a3f6d73, podczas obsługi obrazów, może wystąpić nieskończona pętla w obliczeniach sum kontrolnych za pomocą adresu URL file:///dev/zero.

CVE-2026-8328
Średnie

Podatność w funkcji ftpcp() w module ftplib.py języka Python. Funkcja ta nie została zaktualizowana podczas naprawy CVE-2021-4189, co pozwala atakującemu na kontrolowanie adresu IP i portu przekazywanego do target.sendport().

CVE-2026-44381
Średnie

W MISP, przed wersją 2.5.37, występowała podatność na wstrzykiwanie SQL w obsłudze parametrów sortowania kontrolowanych przez użytkownika w punktach końcowych listowania zdarzeń i atrybutów. Atakujący mógł wykorzystać złośliwy parametr sortowania do manipulacji generowanym zapytaniem SQL.

CVE-2026-44379
Średnie

MISP to otwartoźródłowa platforma do inteligencji zagrożeń i ich udostępniania. W wersjach przed 2.5.37, MISP Collections nie wymuszał walidacji UUID zgodnie z RFC 4122, co pozwalało na wprowadzenie niepoprawnych wartości UUID przez użytkowników, co mogło prowadzić do problemów z integralnością danych.

CVE-2026-44376
Średnie

CubeCart to rozwiązanie oprogramowania e-commerce. Przed wersją 6.7.0 występuje podatność na Reflected XSS w funkcji wyszukiwania, która pozwala na odzwierciedlenie nieautoryzowanego wejścia użytkownika bez sanitizacji, gdy wyszukiwanie zwraca dokładnie jeden produkt.

CVE-2025-27852
Średnie

Lokalnie serwisowana strona internetowa na urządzeniu Garmin WDU (w wersjach 1.4.6 i 5.0) umożliwia atak typu reflected cross site scripting (XSS). Atakujący w lokalnej sieci może wykonać dowolny kod JavaScript w kontekście strony WDU, co może prowadzić do pełnego dostępu administracyjnego do urządzenia.

CVE-2026-33381
Średnie

Po odwołaniu dostępu użytkownika do mintowania tokenów dla konta serwisowego, w niektórych przypadkach nadal możliwe jest to przez kilka sekund. Użytkownik ostatecznie straci dostęp do tej funkcji.

CVE-2026-33380
Średnie

Podatność w SQL Expressions umożliwia uwierzytelnionemu atakującemu odczyt dowolnych plików z systemu plików serwera Grafana. Dotyczy to tylko instancji z włączoną funkcją sqlExpressions.

CVE-2026-33378
Średnie

Wykorzystanie makra $__timeGroup może prowadzić do przepełnienia pamięci (OOM) poprzez przeciążenie serwera. Wymaga to źródła danych SQL, a jeśli serwer jest skonfigurowany do automatycznego ponownego uruchamiania, wpływ ataku jest minimalny lub nieistniejący.

CVE-2026-28383
Średnie

Podatność w wtyczce Grafana umożliwia nieograniczone przydzielanie pamięci poprzez odczyt całego ciała żądania do pamięci. Użytkownik z odpowiednimi uprawnieniami może wykorzystać tę lukę, aby wywołać stan braku pamięci, co może prowadzić do odmowy usługi.

CVE-2026-28380
Średnie

Każdy edytor mógł usunąć dowolny zrzut, nawet jeśli nie miał dostępu do jego odczytu lub zapisu.

CVE-2026-28379
Średnie

W Grafana Live występuje warunkowa rywalizacja, która pozwala uwierzytelnionym użytkownikom z rolą Viewer na wywołanie awarii serwera poprzez wysyłanie równoczesnych żądań, co prowadzi do krytycznego błędu dostępu do mapy. Skutkuje to całkowitą niedostępnością usługi, wymagającą ponownego uruchomienia serwera Grafana.

CVE-2026-28376
Średnie

Punkt końcowy push w Grafana Live może być wykorzystany do nieograniczonego przydzielania pamięci poprzez wysłanie dużego lub strumieniowego ciała żądania, co może prowadzić do warunków braku pamięci. Użytkownik z autoryzacją mający dostęp do API Grafana Live może wywołać ten problem.

CVE-2026-28374
Średnie

Edytorzy mogli usuwać dowolne adnotacje, nawet te, do których nie mają dostępu do odczytu. Użytkownik edytora nie może tworzyć ani odczytywać adnotacji.

CVE-2026-44248
Średnie

W bibliotece Netty przed wersjami 4.2.13.Final i 4.1.133.Final odkryto podatność w dekoderze MQTT 5. Sekcja właściwości (Properties) w nagłówku MQTT jest parsowana i buforowana przed sprawdzeniem limitu rozmiaru wiadomości, co pozwala atakującemu na wysłanie bardzo dużych właściwości. Powoduje to wielokrotne, kosztowne przetwarzanie i buforowanie danych w pamięci, prowadząc do wysokiego zużycia CPU i RAM.

CVE-2026-42581
Średnie

Podatność w Netty pozwala na przemycanie żądań HTTP (request smuggling) w przypadku wersji HTTP/1.0. Gdy żądanie zawiera zarówno nagłówek Transfer-Encoding: chunked, jak i Content-Length, HttpObjectDecoder nie usuwa sprzecznego nagłówka Content-Length dla HTTP/1.0, co powoduje niezgodność granic wiadomości.

CVE-2026-0262
Średnie

Wiele podatności typu denial of service w oprogramowaniu Palo Alto Networks PAN-OS® umożliwia nieautoryzowanemu atakującemu z dostępem do sieci spowodowanie stanu odmowy usługi (DoS) poprzez wysyłanie specjalnie przygotowanego ruchu sieciowego.

CVE-2026-0261
Średnie

Wielokrotne podatności na wstrzykiwanie poleceń w oprogramowaniu Palo Alto Networks PAN-OS® umożliwiają uwierzytelnionemu administratorowi ominięcie ograniczeń systemowych i uruchamianie dowolnych poleceń jako użytkownik root. W celu wykorzystania tej podatności użytkownik musi mieć dostęp do interfejsu CLI lub Web UI PAN-OS.

CVE-2026-0258
Średnie

W podatności CVE-2026-0258 występuje błąd typu server-side request forgery (SSRF) w implementacji IKEv2 oprogramowania Palo Alto Networks PAN-OS®. Umożliwia on nieautoryzowanemu atakującemu zmuszenie zapory do wysyłania żądań sieciowych do niezamierzonych celów lub spowodowanie stanu odmowy usługi (DoS).

CVE-2026-0256
Średnie

W oprogramowaniu Palo Alto Networks PAN-OS® występuje podatność na przechowywane ataki XSS, która umożliwia złośliwemu, uwierzytelnionemu administratorowi zapisanie ładunku JavaScript za pomocą interfejsu webowego.

PoprzedniaStrona 226 z 556Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS