Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.14)

CVE-2026-34237
Średnie

MCP Java SDK, oficjalne SDK Java dla serwerów i klientów Model Context Protocol, zawierał podatność na CORS z twardo zakodowanym znakiem wieloznacznym przed wersjami 0.83.0, 1.0.1 i 1.1.1. Problem ten został naprawiony w wymienionych wersjach.

CVE-2026-29597
Średnie

W DDSN Interactive cm3 Acora CMS w wersji 10.7.1 występuje podatność polegająca na nieprawidłowej kontroli dostępu. Użytkownik z uprawnieniami edytora może uzyskać dostęp do wrażliwych plików konfiguracyjnych poprzez bezpośrednie przeglądanie endpointu „/Admin/file_manager/file_details.asp” i manipulowanie parametrem „file”. Poprzez odwołanie się do konkretnych plików (np. cm3.xml) atakujący może odzyskać dane uwierzytelniające administratora systemu, ustawienia SMTP, dane dostępowe do bazy danych oraz inne poufne informacje.

CVE-2026-30082
Średnie

W systemie IngEstate Server w wersji 11.14.0 wykryto wiele podatności na trwały skrypt krzyżowy (XSS) w funkcji edycji strony listy pakietów oprogramowania. Atakujący może wstrzyknąć złośliwy kod do parametrów About application, What's news lub Release note, co prowadzi do wykonania dowolnych skryptów lub kodu HTML.

CVE-2026-5119
Średnie

W libsoup znaleziono lukę, która pozwala na przesyłanie wrażliwych ciasteczek sesyjnych w postaci niezaszyfrowanej podczas nawiązywania tuneli HTTPS przez skonfigurowany proxy HTTP. Atakujący mogą przechwycić te ciasteczka, co prowadzi do potencjalnego przejęcia sesji lub podszywania się pod użytkownika.

CVE-2026-23399
Średnie

W jądrze systemu Linux zidentyfikowano podatność, która została naprawiona. Problem dotyczy możliwego wycieku pamięci w wyrażeniu stanowym w ścieżce błędu, gdy klonowanie drugiego wyrażenia stanowego nie powiedzie się.

CVE-2026-30689
Średnie

W Blog.Core do wersji bcb4d17 interfejs API getinfobytoken ma nieprawidłową kontrolę dostępu, co prowadzi do ujawnienia wrażliwych danych. Nieautoryzowane strony mogą uzyskać poufne informacje o koncie administratora za pomocą ważnego tokena, zagrażając bezpieczeństwu systemu.

CVE-2026-28375
Średnie

Źródło danych testowych może być wykorzystane do wywołania awarii z powodu braku pamięci w Grafanie.

CVE-2026-27879
Średnie

Zapytanie o ponowne próbkowanie może prowadzić do awarii z powodu braku pamięci w Grafanie.

CVE-2025-61190
Średnie

W DSpace JSPUI 6.5 wykryto podatność na odbity Cross-Site Scripting (XSS) w funkcji filtrowania wyszukiwania. Problem wynika z nieprawidłowego oczyszczania danych wejściowych użytkownika przekazywanych przez parametr filter_type_1.

CVE-2026-33375
Średnie

Wtyczka źródła danych MSSQL w Grafanie zawiera błąd logiczny, który pozwala użytkownikowi o niskich uprawnieniach (Viewer) na obejście ograniczeń API i wywołanie katastrofalnego wyczerpania pamięci (OOM), co prowadzi do awarii kontenera hosta.

CVE-2026-2100
ŚrednieEPSS 63%

W bibliotece p11-kit wykryto podatność, która pozwala zdalnemu atakującemu wywołać funkcję C_DeriveKey na zdalnym tokenie z określonymi parametrami IBM kyber lub IBM btc ustawionymi na NULL. Może to prowadzić do próby zwrócenia niezainicjalizowanej wartości przez klienta RPC, co skutkuje wyłuskaniem wskaźnika NULL lub niezdefiniowanym zachowaniem.

CVE-2026-21724
Średnie

W Grafana OSS odkryto podatność, która pozwala na obejście autoryzacji w API punktów kontaktowych do provisioningu. Użytkownicy z rolą Edytora mogą modyfikować chronione adresy URL webhooków bez wymaganej zgody na alert.notifications.receivers.protected:write.

CVE-2026-3116
Średnie

Wtyczki Mattermost w wersjach <=11.4, 11.0.4, 11.1.3, 11.3.2 oraz 10.11.11.0 nie weryfikują rozmiaru przychodzących żądań, co pozwala uwierzytelnionemu atakującemu na zakłócenie działania usługi poprzez punkt końcowy webhooka.

CVE-2026-4887
Średnie

W GIMP znaleziono lukę, która polega na nadmiernym odczycie bufora w sterowniku plików PCX z powodu błędu off-by-one. Zdalny atakujący może wykorzystać tę lukę, nakłaniając użytkownika do otwarcia specjalnie przygotowanego obrazu PCX.

CVE-2026-20108
Średnie

Podatność w interfejsie zarządzania opartym na sieci Web w Cisco Catalyst SD-WAN Manager umożliwia uwierzytelnionemu, zdalnemu atakującemu przeprowadzenie ataku typu cross-site scripting (XSS) na użytkownika tego interfejsu. Problem wynika z niewystarczającej walidacji danych wejściowych.

CVE-2026-23394
Średnie

W jądrze systemu Linux zidentyfikowano podatność, która pozwala na błędne usunięcie gniazda z kolejki odbiorczej przez zbieranie śmieci (GC) w wyniku wywołania MSG_PEEK. Problem ten występuje w sytuacji, gdy gniazdo jest zamykane podczas sprawdzania jego stanu przez GC, co prowadzi do nieprawidłowego wniosku o martwym gnieździe.

CVE-2026-23389
Średnie

W jądrze systemu Linux zidentyfikowano podatność związana z wyciekiem pamięci w funkcji ice_set_ringparam. Problem polega na tym, że w przypadku niepowodzenia alokacji rx_rings, tx_rings i xdp_rings pozostają niezwolnione, co prowadzi do wycieku pamięci.

CVE-2026-23371
Średnie

W jądrze Linuxa zidentyfikowano podatność związaną z niewłaściwym dziedziczeniem parametrów przez zadania SCHED_DEADLINE podczas zmiany priorytetu. Problem ten może prowadzić do błędów w obliczaniu pasma, gdy zadanie nie jest poprawnie oznaczane jako wzmocnione.

CVE-2026-23346
Średnie

W jądrze Linuxa zidentyfikowano podatność w funkcji ioremap_prot(), która może prowadzić do błędów odczytu pamięci z poziomu jądra na systemach arm64 z włączonym PAN. Problem polega na zwracaniu nowego mapowania użytkownika, które jest niedostępne dla jądra.

CVE-2026-23310
Średnie

W jądrze systemu Linux zidentyfikowano podatność, która pozwala na zmianę polityki haszowania transmisji na vlan+srcmac, gdy program XDP jest załadowany na bondzie w trybie 802.3ad lub balance-xor. To może prowadzić do niezgodności i błędów podczas usuwania bondów.

PoprzedniaStrona 248 z 551Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS