Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.16)

CVE-2026-58372
WysokieEPSS 51%

SeaweedFS przed wersją 4.34 zawiera podatność na przechodzenie po ścieżkach w handlerze DeleteMultipleObjectsHandler bramy S3. Uwierzytelniony podmiot S3 z prawem zapisu do jednego bucketa może usunąć dowolne obiekty w innych bucketach, podając klucze obiektów z sekwencją ../ w żądaniu XML DeleteObjects.

CVE-2026-58371
Niskie

Podatność w SeaweedFS przed wersją 4.30 polega na braku walidacji parametru callback w funkcji writeJson, co pozwala na odbicie go w odpowiedziach JavaScript. Brak nagłówka X-Content-Type-Options: nosniff oraz listy dozwolonych CORS umożliwia ataki typu cross-origin na niezabezpieczonych punktach końcowych.

CVE-2026-58370
Wysokie

Podatność w Woodpecker przed wersją 3.15.0 pozwala na obejście listy ApprovalAllowedUsers poprzez manipulację polem pipeline.Author. Dla integracji z GitLab, autor potoku jest pobierany z nazwy autora commita (commit.author.name) w webhooku, która jest kontrolowana przez atakującego i nie jest weryfikowana przez GitLab. Użytkownik otwierający merge request z forka może ustawić nazwę autora commita tak, aby pasowała do wpisu na liście ApprovalAllowedUsers, co powoduje, że needsApproval zwraca false i potok uruchamia się bez wymaganej zgody.

CVE-2026-58369
Średnie

Woodpecker przed wersją 3.15.0 udostępnia endpoint /api/orgs/lookup/*org_full_name bez uwierzytelniania, a procedura obsługi LookupOrg bezwzględnie wyłuskuje użytkownika sesji (user.ForgeID przez ForgeFromUser) przy wyborze forga do zapytania. Dla nieuwierzytelnionego żądania session.User zwraca nil, co powoduje wyłuskanie wskaźnika NULL i panikę. Panika jest przechwytywana przez middleware gin recovery, a serwer kontynuuje działanie (zwracając HTTP 500), ale każde żądanie zapisuje wieloliniowy ślad paniki do dziennika błędów.

CVE-2026-58176
Średnie

W systemie RuoYi-Vue-Plus do wersji 5.6.2 (poprawione w commicie 88d03d9) endpointy zarządzania zadaniami przepływu pracy w kontrolerze FlwTaskController nie mają żadnej kontroli uprawnień. Każdy uwierzytelniony użytkownik, niezależnie od roli, może zmieniać przypisanie zadań, przyspieszać je oraz przeglądać wszystkie oczekujące i zakończone zadania.

CVE-2026-58174
Średnie

Podatność w Hermes WebUI przed wersją 0.51.521 pozwala na ominięcie izolacji profili. Podczas importowania sesji przez endpoint /api/session/import, obiekt sesji jest tworzony bez ustawienia profilu, co powoduje, że importowana sesja ma profil null. Ponieważ profil null jest traktowany jako domyślny, użytkownik na profilu domyślnym może wyeksportować transkrypt sesji i użyć jej identyfikatora do odczytu plików z przestrzeni roboczej nazwanego profilu.

CVE-2026-58173
Średnie

Podatność typu path traversal w Vibe-Trading przed wersją 0.1.10 pozwala atakującym na zapisywanie plików poza zamierzonym katalogiem głównym pamięci poprzez podanie złośliwej wartości parametru memory_type zawierającej sekwencje nawigacji po ścieżkach. Atakujący mogą manipulować parametrem memory_type w trwałym magazynie pamięci, co powoduje zapis dowolnych plików Markdown w nieprzeznaczonych lokalizacjach w systemie plików.

CVE-2026-58172
Krytyczne

Ocelot do wersji 24.1.0 zawiera podatność umożliwiającą ominięcie kontroli bezpieczeństwa. Zablokowani klienci mogą wysyłać żądania uaktualnienia WebSocket, które są przetwarzane bez uwzględnienia listy dozwolonych/zablokowanych adresów IP.

CVE-2026-58171
Średnie

Podatność w Vibe-Trading przed wersją 0.1.10 pozwala na odczyt i nadpisanie plików run.json poza katalogiem runs. Atakujący może dostarczyć spreparowany identyfikator uruchomienia przez narzędzia MCP swarm, co prowadzi do nieautoryzowanego dostępu do plików.

CVE-2026-58170
Wysokie

Podatność w Vibe-Trading przed wersją 0.1.10 pozwala na wstrzyknięcie ścieżki (path traversal) podczas budowania ścieżki pliku propozycji. Atakujący może dostarczyć identyfikator propozycji zawierający sekwencje nawigacji po katalogach, co powoduje załadowanie kontrolowanego pliku JSON jako autorytatywnego mandatu handlowego.

CVE-2026-58169
Wysokie

Podatność DNS rebinding w Vibe-Trading przed wersją 0.1.10 umożliwia ominięcie uwierzytelniania bearer-token poprzez wykorzystanie zaufania serwera do adresów TCP dla klientów loopback oraz brak walidacji nagłówka Host przy wiązaniu do 0.0.0.0 z uwierzytelnionym CORS. Atakujący może stworzyć złośliwą stronę DNS rebinding, wysyłać uwierzytelnione żądania do lokalnego API, dotrzeć do endpointu wykonania powłoki z presetem bash i uzyskać zdalne wykonanie kodu jako użytkownik procesu API, a także nadpisać ustawienia LLM i źródła danych w celu kradzieży poświadczeń.

CVE-2026-58168
Wysokie

Podatność w DeepTutor przed wersją 1.4.10 umożliwia ominięcie autoryzacji, przez co użytkownicy z niskimi uprawnieniami mogą wywoływać nieograniczone narzędzia MCP. Funkcja allowed_mcp_tools zwraca None zamiast odmowy, gdy mcp_tools jest pominięte w konfiguracji użytkownika.

CVE-2026-58167
Średnie

Podatność w Nightingale (n9e) przed wersją 9.0.0-beta.2 umożliwia każdemu uwierzytelnionemu użytkownikowi z niskimi uprawnieniami (rola Standard) odczyt pełnych konfiguracji źródeł danych, w tym haseł baz danych, tokenów HTTP Bearer, haseł HTTP Basic Auth oraz kluczy klienckich mTLS. Dzieje się tak przez endpoint POST /api/n9e/datasource/list, który nie wymaga autoryzacji administratora, a filtr DatasourceFilter nie usuwa pól zawierających sekrety.

CVE-2026-58166
Krytyczne

OpenBMB ChatDev do wersji 2.2.0 zawiera podatność na path traversal w punkcie końcowym przesyłania plików. Nieuwierzytelniony atakujący może zapisać lub usunąć dowolne pliki na serwerze, wysyłając złośliwą nazwę pliku z sekwencjami nawigacji po ścieżce.

CVE-2026-58165
Wysokie

W OpenZiti do wersji 2.0.0 (poprawione w commicie 3027fdf) występuje podatność na eskalację uprawnień. Uwierzytelniony użytkownik niebędący administratorem, posiadający szczegółowe uprawnienia do zarządzania rejestracjami, może utworzyć token rejestracyjny dla dowolnej tożsamości, w tym domyślnego administratora, ponieważ funkcja ApplyCreate w controller/model/enrollment_manager.go sprawdza tylko istnienie docelowej tożsamości, bez autoryzacji wiążącej żądającego z tą tożsamością.

CVE-2026-49451
Wysokie

Podatność w bibliotece Microsoft.OpenApi (OpenAPI.NET SDK) pozwala na przerwanie działania procesu przez przepełnienie stosu podczas parsowania dokumentu OpenAPI z cyklicznym odwołaniem do schematu. Problem występuje w wersjach od 2.0.0-preview11 do 2.7.5 i 3.5.4, dotyczy zarówno czytników JSON, jak i YAML.

CVE-2026-10655
Średnie

W Zephyr OS wykryto podatność polegającą na wyścigu w asynchronicznym kliencie SNTP. Zamknięcie gniazda UDP z wątku wywołującego bez synchronizacji z wątkiem pollującym może prowadzić do użycia po zwolnieniu (use-after-free) struktury net_context.

CVE-2026-10654
Niskie

W stosie Bluetooth Classic RFCOMM hosta Zephyr (subsys/bluetooth/host/classic/rfcomm.c) występuje wyścig (race condition) podczas jednoczesnego zrywania sesji dwukierunkowej. Gdy lokalne urządzenie inicjuje zakończenie sesji (stan BT_RFCOMM_STATE_DISCONNECTING, wysłany DISC, włączony timer RTX), a zdalny peer jednocześnie wysyła własną ramkę DISC dla dlci 0, funkcja rfcomm_handle_disc() wywołuje rfcomm_session_disconnected(), która bezwarunkowo przełącza sesję w stan BT_RFCOMM_STATE_DISCONNECTED bez wywołania bt_l2cap_chan_disconnect(). Powoduje to trwałe zablokowanie sesji: kanał L2CAP nie jest zwalniany, a slot w tablicy bt_rfcomm_pool[] nie jest odzyskiwany.

CVE-2026-10653
Średnie

W bibliotece net_buf systemu Zephyr stwierdzono podatność polegającą na nieatomowych operacjach na licznikach referencji. W warunkach współbieżności (SMP lub wywłaszczanie jednego rdzenia) może dojść do podwójnego zwolnienia bufora, co prowadzi do uszkodzenia sterty i użycia po zwolnieniu (use-after-free).

CVE-2026-48315
Krytyczne

Podatność w ColdFusion w wersjach 2025.9, 2023.20 i wcześniejszych wynika z nieprawidłowej walidacji danych wejściowych, co może prowadzić do wykonania dowolnego kodu w kontekście bieżącego użytkownika. Atakujący może wstrzyknąć złośliwe skrypty na stronę internetową, potencjalnie uzyskując podwyższone uprawnienia lub kontrolę nad kontem lub sesją ofiary. Wykorzystanie podatności wymaga interakcji użytkownika, który musi otworzyć złośliwy plik, a zakres ataku jest zmieniony.

PoprzedniaStrona 240 z 4689Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS