Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.14)

CVE-2026-2575
Średnie

W Keycloak znaleziono lukę, która pozwala nieautoryzowanemu zdalnemu atakującemu wywołać atak typu Denial of Service (DoS) na poziomie aplikacji. Atakujący może to osiągnąć, wysyłając mocno skompresowane żądanie SAML przez SAML Redirect Binding, co prowadzi do błędu OutOfMemoryError (OOM) i zakończenia procesu.

CVE-2026-4324
Średnie

Wtyczka Katello dla Red Hat Satellite zawiera lukę, która wynika z niewłaściwego oczyszczania danych wejściowych dostarczanych przez użytkowników. Umożliwia to zdalnemu atakującemu wstrzykiwanie dowolnych poleceń SQL do parametru sort_by w punkcie końcowym API /api/hosts/bootc_images.

CVE-2025-2274
Średnie

Nieprawidłowa neutralizacja danych wejściowych podczas generowania stron internetowych w Forcepoint Web Security (On-Prem) na systemie Windows umożliwia wystąpienie ataku typu Stored XSS. Problem ten dotyczy wersji Web Security do 8.5.6.

CVE-2026-3442
Średnie

W bibliotece GNU Binutils w komponencie linkera bfd wykryto podatność polegającą na przepełnieniu bufora sterty (odczyt poza zakresem). Atakujący może wykorzystać tę lukę, nakłaniając użytkownika do przetworzenia specjalnie spreparowanego pliku XCOFF.

CVE-2026-3441
Średnie

W GNU Binutils znaleziono podatność przepełnienia bufora sterty (odczyt poza zakresem) w linkerze bfd. Atakujący może wykorzystać specjalnie spreparowany plik obiektowy XCOFF, aby uzyskać dostęp do wrażliwych informacji lub spowodować odmowę usługi na poziomie aplikacji.

CVE-2026-3227
ŚrednieEPSS 62%

W routerach TP-Link TL-WR802N v4, TL-WR841N v14 i TL-WR840N v6 wykryto podatność na wstrzykiwanie poleceń systemu operacyjnego. Funkcja importu konfiguracji umożliwia uwierzytelnionemu atakującemu przesłanie spreparowanego pliku konfiguracyjnego, co prowadzi do wykonania poleceń z uprawnieniami roota podczas przetwarzania reguł port-trigger.

CVE-2026-20994
Średnie

Wersje Samsung Account przed 15.5.01.1 zawierają lukę w przekierowaniu URL, która może umożliwić lokalnym atakującym uzyskanie tokena dostępu.

CVE-2016-20031
Średnie

ZKTeco ZKBioSecurity 3.0 zawiera podatność na obejście lokalnej autoryzacji w pliku visLogin.jsp, która pozwala atakującym na uwierzytelnienie bez ważnych poświadczeń poprzez fałszowanie żądań localhost.

CVE-2016-20029
Średnie

ZKTeco ZKBioSecurity 3.0 zawiera podatność na manipulację ścieżkami plików, która umożliwia atakującym dostęp do dowolnych plików poprzez modyfikację ścieżek plików używanych do pobierania lokalnych zasobów.

CVE-2016-20028
Średnie

ZKTeco ZKBioSecurity 3.0 zawiera podatność typu cross-site request forgery, która pozwala atakującym na wykonywanie działań administracyjnych poprzez oszukiwanie zalogowanych użytkowników, aby odwiedzili złośliwe strony internetowe. Atakujący mogą tworzyć żądania HTTP, które dodają konta superadmina bez weryfikacji, co umożliwia nieautoryzowany dostęp administracyjny.

CVE-2016-20027
Średnie

ZKTeco ZKBioSecurity 3.0 zawiera wiele podatności na refleksyjny atak XSS, które pozwalają atakującym na wykonanie dowolnego kodu HTML i skryptów poprzez wstrzykiwanie złośliwych ładunków w niesanitizowanych parametrach w wielu skryptach.

CVE-2026-2673
Średnie

Serwer OpenSSL TLS 1.3 może nie negocjować preferowanej grupy wymiany kluczy, gdy jego konfiguracja grupy wymiany kluczy zawiera domyślną wartość 'DEFAULT'. W wyniku tego może być używana mniej preferowana grupa, nawet jeśli zarówno klient, jak i serwer obsługują bardziej preferowaną grupę.

CVE-2025-57849
Średnie

W niektórych obrazach Fuse odkryto lukę umożliwiającą eskalację uprawnień w kontenerze. Problem wynika z pliku /etc/passwd, który jest tworzony z uprawnieniami do zapisu dla grupy podczas budowy, co pozwala atakującemu na modyfikację tego pliku.

CVE-2025-15515
Średnie

Mechanizm uwierzytelniania w module EasyShare zawiera podatność. W przypadku spełnienia określonych warunków w lokalnej sieci, może dojść do wycieku danych.

CVE-2026-2376
Średnie

W systemie mirror-registry znaleziono lukę, która pozwala uwierzytelnionemu użytkownikowi na oszukanie systemu w celu uzyskania dostępu do niezamierzonych wewnętrznych lub zastrzeżonych systemów poprzez podanie złośliwych adresów internetowych. Aplikacja automatycznie podąża za przekierowaniami bez weryfikacji ostatecznego celu.

CVE-2025-66955
Średnie

Podatność Local File Inclusion w komponentach Contact Plan, E-Mail, SMS i Fax w systemie Asseco SEE Live 2.0 umożliwia zdalnym, uwierzytelnionym użytkownikom dostęp do plików na hoście poprzez parametr "path" w wywołaniach API downloadAttachment i downloadAttachmentFromPath.

CVE-2025-61154
Średnie

W podatności CVE-2025-61154 występuje przepełnienie bufora na stercie w wersjach LibreDWG od v0.13.3.7571 do v0.13.3.7835. Złośliwie przygotowany plik DWG może spowodować awarię usługi (DoS) poprzez funkcję decompress_R2004_section w pliku decode.c.

CVE-2025-13913
Średnie

Użytkownik z uprawnieniami w Ignition może zaimportować zewnętrzny plik z specjalnie przygotowanym ładunkiem, co prowadzi do wykonania osadzonego złośliwego kodu.

CVE-2026-20117
Średnie

Podatność w interfejsie zarządzania opartym na sieci Web w Cisco Unified Contact Center Express (Unified CCX) umożliwia nieuwierzytelnionemu, zdalnemu atakującemu przeprowadzenie ataków typu cross-site scripting (XSS) na użytkownika tego interfejsu. Problem wynika z niewystarczającej walidacji danych wejściowych dostarczanych przez użytkownika.

CVE-2026-3784
Średnie

Podatność CVE-2026-3784 dotyczy narzędzia curl, które błędnie ponownie wykorzystuje istniejące połączenie HTTP proxy podczas wykonywania żądania CONNECT do serwera, nawet jeśli nowe żądanie używa innych poświadczeń dla proxy. Oczekiwane zachowanie to utworzenie lub użycie oddzielnego połączenia.

PoprzedniaStrona 250 z 551Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS