Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.14)

CVE-2026-40447
Średnie

W podatności CVE-2026-40447 występuje przepełnienie lub owinięcie liczb całkowitych w Samsung Open Source Escargot, co prowadzi do nieokreślonego zachowania. Problem ten dotyczy wersji Escargot: 97e8115ab1110bc502b4b5e4a0c689a71520d335.

CVE-2026-40446
Średnie

W podatności CVE-2026-40446 występuje problem z dostępem do zasobów przy użyciu niekompatybilnego typu ('confusion type') w Samsung Open Source Escargot, co umożliwia manipulację wskaźnikami. Problem ten dotyczy wersji Escargot: 97e8115ab1110bc502b4b5e4a0c689a71520d335.

CVE-2026-6179
Średnie

Podatność Stored Cross-Site Scripting (XSS) w platformie NightWolf Penetration Testing Platform umożliwia atakującemu wstrzyknięcie i uruchomienie złośliwego skryptu w przeglądarce użytkownika.

CVE-2026-25204
Średnie

Podatność związana z deserializacją niezaufanych danych w Samsung Open Source Escargot Java Script może prowadzić do stanu odmowy usługi poprzez przerwanie procesu. Problem dotyczy wersji escargot przed commit hash 97e8115ab1110bc502b4b5e4a0c689a71520d335.

CVE-2026-33118
Średnie

W Microsoft Edge (oparty na Chromium) występuje błąd w interfejsie użytkownika, który może prowadzić do błędnej prezentacji krytycznych informacji. Umożliwia to nieautoryzowanemu atakującemu przeprowadzenie ataku typu spoofing w sieci.

CVE-2026-5724
Średnie

W serwerze gRPC frontendu Temporal brakowało interceptora autoryzacji w łańcuchu przetwarzania strumieniowego. Skonfigurowane ClaimMapper i Authorizer były pomijane dla endpointu AdminService/StreamWorkflowReplicationMessages, co pozwalało na dostęp bez uwierzytelnienia.

CVE-2026-40190
Średnie

W bibliotece LangSmith JavaScript/TypeScript SDK (langsmith) przed wersją 0.5.18 wykryto niekompletną ochronę przed zanieczyszczeniem prototypu. Funkcja baseAssignValue() blokuje jedynie klucz __proto__, ale nie zapobiega modyfikacji prototypu przez konstruktor.prototype, co umożliwia atakującemu kontrolującemu klucze w danych przetwarzanych przez API createAnonymizer() zanieczyszczenie Object.prototype i wpłynięcie na wszystkie obiekty w procesie Node.js.

CVE-2026-1502
Średnie

Podatność w kliencie HTTP pozwala na wstrzyknięcie znaków CR/LF do nagłówków tunelu proxy lub hosta, co może prowadzić do ataków typu HTTP response splitting lub cache poisoning.

CVE-2021-47960
Średnie

W podatności CVE-2021-47960 w kliencie Synology SSL VPN przed wersją 1.4.5-0684, zewnętrzni napastnicy mogą uzyskać dostęp do plików w katalogu instalacyjnym poprzez lokalny serwer HTTP związany z interfejsem loopback. Wykorzystując interakcję użytkownika z przygotowaną stroną internetową, napastnicy mogą uzyskać wrażliwe pliki, takie jak pliki konfiguracyjne, certyfikaty i logi.

CVE-2026-5525
Średnie

W Notepad++ w wersji 8.9.3 występuje podatność na przepełnienie bufora stosu w komponencie obsługi przeciągania i upuszczania plików. Problem występuje, gdy użytkownik przeciąga i upuszcza ścieżkę katalogu o dokładnie 259 znakach bez końcowego ukośnika, co prowadzi do przepełnienia bufora i awarii aplikacji.

CVE-2026-4482
Średnie

Pliki certyfikatów instalatora w folderze …/bootstrap/common/ssl na systemach Windows nie mają ograniczonych uprawnień, co pozwala użytkownikom na odczyt i wykonanie. Szczególnie plik client.key może prowadzić do wykorzystania podatności, ponieważ ujawnia materiały tożsamości agenta lokalnie uwierzytelnionym standardowym użytkownikom.

CVE-2026-5263
Średnie

Podatność w bibliotece wolfSSL powoduje, że ograniczenia nazw URI (nameConstraints) z certyfikatów pośrednich są parsowane, ale nie są egzekwowane podczas weryfikacji łańcucha certyfikatów. Oznacza to, że zaufany, ale skompromitowany podrzędny urząd certyfikacji (sub-CA) może wystawić certyfikat końcowy z wpisem URI w SAN, który narusza ograniczenia nałożone przez nadrzędny CA, a wolfSSL uzna go za prawidłowy.

CVE-2026-39848
Średnie

Aplikacja Dockyard przed wersją 1.1.0 nie posiada ochrony CSRF dla operacji uruchamiania i zatrzymywania kontenerów Docker. Atakujący może zmusić przeglądarkę zalogowanego administratora do wykonania żądań GET, co pozwoli na nieautoryzowane zarządzanie kontenerami.

CVE-2026-33774
Średnie

W systemie Junos OS na platformach MX z kartami liniowymi MPC10, MPC11, LC4800, LC9600 oraz MX304, filtry firewall zastosowane na interfejsie pętli zwrotnej lo0.n (gdzie n jest liczbą różną od 0) nie są wykonywane, gdy interfejs ten znajduje się w globalnej VRF (domyślnej instancji routingu). Umożliwia to nieuwierzytelnionemu atakującemu sieciowemu ominięcie skonfigurowanego filtra i uzyskanie dostępu do płaszczyzny sterowania urządzenia.

CVE-2026-21915
ŚrednieEPSS 81%

Podatność w interfejsie CLI narzędzia Juniper Networks Support Insights (JSI) Virtual Lightweight Collector (vLWC) pozwala lokalnemu atakującemu z wysokimi uprawnieniami na eskalację do roota. CLI akceptuje dane wejściowe bez odpowiedniej walidacji, co umożliwia wstrzyknięcie poleceń powłoki wykonywanych z uprawnieniami roota.

CVE-2026-21904
Średnie

W Juniper Networks Junos Space wykryto podatność na atak XSS (Cross-site Scripting) w polu filtru listy. Umożliwia ona atakującemu wstrzyknięcie złośliwych znaczników skryptów, które po odwiedzeniu przez innego użytkownika (w tym administratora) pozwalają na wykonanie poleceń z jego uprawnieniami. Problem dotyczy wszystkich wersji przed 24.1R5 Patch V3.

CVE-2025-70365
Średnie

W systemie Kiamo przed wersją 8.4 wykryto podatność na trwały atak XSS (stored cross-site scripting). Wynika ona z nieprawidłowego kodowania danych wejściowych użytkownika w interfejsach administracyjnych. Uwierzytelniony użytkownik administracyjny może wstrzyknąć dowolny kod JavaScript, który zostanie wykonany w przeglądarkach innych użytkowników przeglądających dotknięte strony.

CVE-2026-5890
Średnie

Występujący wyścig w WebCodecs w Google Chrome przed wersją 147.0.7727.55 umożliwiał zdalnemu atakującemu uzyskanie potencjalnie wrażliwych informacji z pamięci procesu za pomocą spreparowanej strony HTML.

CVE-2026-4837
Średnie

Podatność CVE-2026-4837 dotyczy wstrzyknięcia eval() w logice beaconingu agenta Rapid7 Insight dla systemów Linux, co teoretycznie może umożliwić atakującemu zdalne wykonanie kodu jako root poprzez spreparowaną odpowiedź beacon. Mimo to, ze względu na użycie mutual TLS (mTLS) do weryfikacji poleceń z platformy Rapid7, wykorzystanie tej funkcji zdalnie jest mało prawdopodobne bez wcześniejszego, wysoko uprzywilejowanego dostępu do platformy backendowej.

CVE-2025-57175
Średnie

Urządzenia Siklu EtherHaul 8010 z oprogramowaniem siklu-uimage-nxp-enc-10_6_2-18707-ea552dc00b mają statyczne hasło dla konta root.

PoprzedniaStrona 246 z 551Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS