Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-34594
WysokieEPSS 61%

W Coolify przed wersją 4.0.0-beta.471 wykryto podatność na wstrzykiwanie poleceń w funkcji zarządzania siecią docelową. Uwierzytelniony użytkownik z uprawnieniami do zarządzania siecią może przekazać złośliwy parametr "network", który jest bezpośrednio wykonywany w powłoce, co pozwala na zdalne wykonanie kodu jako root na zarządzanym serwerze.

CVE-2026-57919
Wysokie

Podatność w PBackupVSS.exe w Matrix42 Empirum przed wersją 25.5 oraz 26.x przed 26.2 tworzy nazwany potok z nadmiernie liberalnymi uprawnieniami. Uwierzytelniony atakujący z niskimi uprawnieniami może połączyć się z tym potokiem i wysłać spreparowane komunikaty IPC, co prowadzi do wykonania dowolnych poleceń z uprawnieniami SYSTEM.

CVE-2026-56018
Wysokie

Podatność w bibliotece JavaScript::Minifier::XS dla Perla przed wersją 0.16 powoduje wyciek pamięci przy każdym wywołaniu funkcji minify(). Funkcja czyszcząca zwalnia tylko struktury NodeSet, ale nie bufory zawartości tokenów, co prowadzi do nieograniczonego wzrostu zużycia pamięci.

CVE-2026-56017
Wysokie

Podatność w bibliotece JavaScript::Minifier::XS dla Perla przed wersją 0.16 powoduje crash przez dereferencję wskaźnika NULL, gdy pierwszym znaczącym tokenem wejścia jest ukośnik. Problem występuje w funkcji JsTokenizeString podczas rozróżniania wyrażenia regularnego od operatora dzielenia.

CVE-2026-53426
Wysokie

Podatność w bibliotece MDEx dla Elixira/Erlanga pozwala na wyczerpanie tablicy atomów poprzez przetworzenie specjalnie spreparowanego dokumentu JSON. Funkcja json_to_node/1 tworzy nowe atomy dla każdej unikalnej wartości node_type, które nie są usuwane przez garbage collector, co prowadzi do awarii całej maszyny wirtualnej BEAM.

CVE-2026-43735
Wysokie

Podatność w Safari umożliwia złośliwej stronie internetowej kradzież danych między różnymi źródłami (cross-origin). Problem został rozwiązany poprzez ulepszone sprawdzanie w Safari 26.5.2, iOS 26.5.2, iPadOS 26.5.2 oraz macOS Tahoe 26.5.2.

CVE-2026-43731
Wysokie

W przeglądarce Safari oraz systemach Apple (iOS, iPadOS, macOS) wykryto podatność typu use-after-free, która może prowadzić do uszkodzenia pamięci podczas przetwarzania złośliwie spreparowanych treści internetowych. Problem został rozwiązany poprzez ulepszone zarządzanie pamięcią.

CVE-2026-43725
Wysokie

Podatność w Safari i systemach Apple umożliwia złośliwej stronie internetowej przetwarzanie zastrzeżonych treści internetowych poza sandboxem. Problem został rozwiązany poprzez poprawioną walidację danych wejściowych.

CVE-2026-43724
Wysokie

Podatność w systemach Apple umożliwia aplikacji spowodowanie nieoczekiwanego zakończenia działania systemu lub zapis do pamięci jądra. Problem został rozwiązany poprzez poprawę sanityzacji danych wejściowych.

CVE-2026-43715
Wysokie

W przeglądarce Safari oraz systemach iOS, iPadOS i macOS Tahoe wykryto podatność typu use-after-free, która została zaadresowana poprzez ulepszone zarządzanie pamięcią. Przetwarzanie złośliwie spreparowanych treści internetowych może prowadzić do uszkodzenia pamięci.

CVE-2026-43705
Wysokie

W przeglądarce Safari oraz systemach iOS, iPadOS i macOS Tahoe wykryto podatność polegającą na pomyleniu typów (type confusion). Problem został rozwiązany poprzez ulepszone sprawdzanie typów. Przetwarzanie złośliwie spreparowanych treści internetowych może prowadzić do uszkodzenia pamięci.

CVE-2026-43701
Wysokie

Podatność w Safari i systemach Apple pozwala złośliwej stronie internetowej na przetwarzanie ograniczonej treści internetowej poza sandboxem. Problem został rozwiązany poprzez ulepszone sprawdzanie w Safari 26.5.2, iOS 26.5.2, iPadOS 26.5.2 i macOS Tahoe 26.5.2.

CVE-2026-58000
WysokieEPSS 69%

Podatność w luci-proto-openvpn do wersji 0.11.1 (załatana w commicie e4ff45e) umożliwia wstrzyknięcie poleceń powłoki w metodzie generateKey ubus. Parametr cl_meta jest interpolowany do polecenia powłoki bez odpowiedniego escapowania, co pozwala uwierzytelnionemu użytkownikowi LuCI z dostępem do konfiguracji OpenVPN na wykonanie dowolnych poleceń jako root przez funkcję popen.

CVE-2026-57999
WysokieEPSS 64%

Podatność w luci-app-tailscale-commons pozwala uwierzytelnionym użytkownikom na wykonanie dowolnych poleceń jako root przez metodę RPC tailscale.do_login. Problem wynika z nieprawidłowego cytowania parametrów loginserver i loginserver_authkey w podwójnie cudzysłowionym poleceniu powłoki, co umożliwia interpretację podstawień powłoki, takich jak $().

CVE-2026-57955
Wysokie

Podatność SQL injection w SigNoz do wersji 0.130.1 umożliwia uwierzytelnionym atakującym wykonanie dowolnych zapytań ClickHouse poprzez wstrzyknięcie zakodowanych w URL cudzysłowów do parametru identyfikatora reguły w endpointach historii alertów. Atakujący mogą odczytać wszystkie przechowywane trace'e, logi i metryki lub wykorzystać funkcję url() do fałszowania żądań po stronie serwera (SSRF).

CVE-2026-57950
Wysokie

Podatność w ruoyi-vue-pro do wersji 2026.05 (załatana w commicie 5d1fd70) wynika z błędnego egzekwowania przestrzeni nazw uprawnień w kontrolerze ErpSaleOrderController. Atakujący z uprawnieniami erp:sale-out mogą uzyskać nieautoryzowany dostęp do operacji na zamówieniach sprzedaży, wykonując nieuprawnione tworzenie, aktualizację, usuwanie i odczyt wrażliwych finansowo zamówień.

CVE-2026-57947
Wysokie

Podatność SSRF w Pinpoint do wersji 3.1.0 pozwala uwierzytelnionym użytkownikom rejestrować wewnętrzne adresy URL w punkcie końcowym webhooka z powodu braku ochrony przed fałszowaniem żądań po stronie serwera. Atakujący mogą wywołać naruszenie progów alarmowych, zmuszając serwer do wysyłania żądań POST do wewnętrznych hostów i punktów końcowych metadanych.

CVE-2026-56780
Wysokie

Podatność w Modoboa przed wersją 2.9.0 w punkcie końcowym PUT /api/v1/accounts/{pk}/password/ umożliwia niebezpieczne bezpośrednie odwołanie do obiektu (IDOR). Administratorzy domen mogą zmienić hasło dowolnego użytkownika, w tym superadministratora, co prowadzi do pełnego przejęcia konta.

CVE-2026-56285
Wysokie

Podatność w Nitter pozwala nieuwierzytelnionym atakującym na wykorzystanie punktu końcowego proxy mediów /video do wysyłania żądań HTTP do dowolnych hostów osiągalnych przez serwer, w tym do usług metadanych chmury i zasobów sieci wewnętrznej. Problem wynika z braku walidacji docelowych adresów URL względem domen Twitter/X oraz użycia zakodowanego na stałe domyślnego klucza HMAC.

CVE-2026-36848
Wysokie

Podatność Directory Traversal w systemie Gigamon GVOS w wersji 5.16.1 i niższych, występująca w podsystemie H-VUE, umożliwia nieautoryzowany dostęp do plików poza katalogiem głównym aplikacji.

PoprzedniaStrona 25 z 3324Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS