Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.14)

CVE-2026-1695
Średnie

Podatność XSS w usługach OAuth PcVue (wersje 12.0.0–16.3.3) umożliwia zdalnemu atakującemu wstrzyknięcie złośliwego kodu na stronę błędu serwera OAuth. Atak wymaga nakłonienia uwierzytelnionego użytkownika do załadowania treści z zewnętrznej strony po nieudanym logowaniu.

CVE-2026-1694
Średnie

Podatność w PcVue (wersje 12.0.0–16.3.3) powoduje, że domyślna konfiguracja IIS i ASP.NET dodaje nagłówki HTTP, które nie są usuwane podczas wdrażania usług sieciowych dla funkcji WebVue, WebScheduler, TouchVue i SnapVue. Umożliwia to niepotrzebne ujawnianie poufnych informacji o konfiguracji serwera.

CVE-2026-1692
Średnie

Brak walidacji pochodzenia w WebSocketach w interfejsach WebVue, WebScheduler, TouchVue i SnapVue oprogramowania PcVue (wersje 12.0.0–16.3.3) umożliwia zdalnemu atakującemu nakłonienie uwierzytelnionego użytkownika do odwiedzenia złośliwej strony. Podatność dotyczy tylko endpointów GraphicalData/js/signalR/connect i GraphicalData/js/signalR/reconnect.

CVE-2026-27610
Średnie

Podatność w Parse Dashboard w wersjach od 7.3.0-alpha.42 do 9.0.0-alpha.7 powoduje, że pamięć podręczna `ConfigKeyCache` używa tego samego klucza dla klucza głównego i klucza głównego tylko do odczytu podczas rozwiązywania kluczy typu funkcyjnego. W określonych warunkach czasowych użytkownik z ograniczonymi uprawnieniami może otrzymać z pamięci podręcznej pełny klucz główny, a zwykły użytkownik może otrzymać klucz główny tylko do odczytu.

CVE-2026-27609
Średnie

Parse Dashboard w wersjach od 7.3.0-alpha.42 do 9.0.0-alpha.7 nie posiada ochrony CSRF dla endpointu AI Agent (`POST /apps/:appId/agent`). Atakujący może stworzyć złośliwą stronę, która po odwiedzeniu przez uwierzytelnionego użytkownika dashboardu wysyła żądania do tego endpointu, wykorzystując sesję ofiary.

CVE-2026-3091
Średnie

W podatności CVE-2026-3091 w Synology Presto Client przed wersją 2.1.3-0672 występuje niekontrolowany element ścieżki wyszukiwania, który pozwala lokalnym użytkownikom na odczyt lub zapis dowolnych plików oraz przeprowadzenie ataku typu denial-of-service podczas instalacji, poprzez umieszczenie złośliwego pliku DLL w tym samym katalogu co instalator.

CVE-2026-25969
Średnie

W ImageMagick przed wersją 7.1.2-15 występuje wyciek pamięci w pliku `coders/ashlar.c`. Funkcja `WriteASHLARImage` alokuje strukturę, ale w przypadku wystąpienia wyjątku, pamięć nie jest prawidłowo zwalniana, co prowadzi do potencjalnego wycieku pamięci.

CVE-2025-69725
Średnie

Podatność Open Redirect w funkcji RedirectSlashes biblioteki go-chi/chi w wersji 5.2.2 i nowszych umożliwia zdalnym atakującym przekierowanie ofiar na złośliwe strony przy użyciu domeny legalnej witryny.

CVE-2026-23229
Średnie

W jądrze systemu Linux zidentyfikowano podatność związaną z brakiem ochrony spinlock w powiadomieniach virtqueue dla urządzenia virtio-crypto. Problem występuje podczas uruchamiania polecenia benchmark openssl z wieloma procesami, co prowadzi do zawieszenia procesów openssl.

CVE-2026-23228
Średnie

W jądrze Linuxa zidentyfikowano podatność związaną z wyciekiem licznika aktywnych połączeń w funkcji ksmbd_tcp_new_connection(). W przypadku niepowodzenia funkcji kthread_run(), transport jest zwalniany, co prowadzi do nieodpowiedniego zarządzania licznikiem active_num_conn.

CVE-2026-23220
Średnie

W jądrze systemu Linux zidentyfikowano podatność, która prowadzi do nieskończonej pętli w przypadku błędnej weryfikacji podpisu żądania SMB2. Problem występuje, gdy funkcja __process_request() nieprawidłowo ustawia wskaźnik do następnego polecenia, co skutkuje ciągłym przetwarzaniem tego samego błędnego żądania.

CVE-2025-8308
Średnie

Podatność CVE-2025-8308 dotyczy niewłaściwej neutralizacji danych wejściowych podczas generowania stron internetowych w systemie INFOREX - General Information Management System, co pozwala na ataki typu XSS poprzez nagłówki HTTP. Problem ten dotyczy wersji systemu od 2025 roku i wcześniejszych do 18 lutego 2026 roku.

CVE-2025-7630
Średnie

W Wispotter, produkcie firmy Doruk Communication and Automation Industry and Trade Inc., występuje podatność związana z niewłaściwym ograniczeniem nadmiernych prób uwierzytelnienia, co umożliwia ataki typu brute force na hasła. Problem dotyczy wersji od 1.0 do przed v2025.10.08.1.

CVE-2025-7706
Średnie

W podatności CVE-2025-7706 w oprogramowaniu Liderahenk występuje brak uwierzytelnienia dla krytycznej funkcji, co umożliwia zdalne włączenie kodu. Problem dotyczy wersji Liderahenk od 3.0.0 do 3.3.1 przed 3.5.0.

CVE-2025-8303
Średnie

Podatność CVE-2025-8303 dotyczy niewłaściwej neutralizacji danych wejściowych podczas generowania stron internetowych w skrypcie nieruchomości EKA Software. Umożliwia to ataki typu Cross-Site Scripting (XSS).

CVE-2026-23157
Średnie

W jądrze Linuxa zidentyfikowano podatność, która prowadzi do zastoju systemu z powodu oczekiwania procesów na zakończenie operacji zapisu stron metadanych w systemie plików btrfs. Problem dotyczy mechanizmu ograniczania zanieczyszczenia pamięci, który w niektórych przypadkach może prowadzić do deadlocku.

CVE-2026-23141
Średnie

W jądrze systemu Linux zidentyfikowano podatność w funkcji btrfs: send, która nieprawidłowo sprawdza inline extents w funkcji range_is_hole_in_parent(). Niewłaściwy dostęp do pola disk_bytenr może prowadzić do nieprawidłowego dostępu do pamięci, co jest szczególnie niebezpieczne w przypadku inline extents.

CVE-2025-69752
Średnie

W funkcjonalności profilu użytkownika 'Moje szczegóły' w Ideagen Q-Pulse 7.1.0.32 stwierdzono podatność, która pozwala uwierzytelnionemu użytkownikowi na przeglądanie danych profilowych innych użytkowników poprzez modyfikację parametru HTTP objectKey w adresie URL strony 'Moje szczegóły'.

CVE-2025-13004
Średnie

Podatność CVE-2025-13004 dotyczy oprogramowania E-Commerce Package firmy Farktor Software E-Commerce Services Inc. i pozwala na obejście autoryzacji poprzez manipulację zmiennymi kontrolowanymi przez użytkownika.

CVE-2025-66274
Średnie

Zgłoszono podatność na dereferencję wskaźnika NULL, która dotyczy kilku wersji systemu operacyjnego QNAP. Zdalny atakujący posiadający konto administratora może wykorzystać tę podatność do przeprowadzenia ataku typu denial-of-service (DoS).

PoprzedniaStrona 252 z 551Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS