Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.15)

CVE-2026-42534
Średnie

W Unbound do wersji 1.25.0 włącznie wykryto podatność w logice zastępowania zapytań (jostle logic). Powtarzane zapytania odnawiają czas starzenia wolno działających zapytań, przez co logika nie zastępuje ich nowymi, co obniża wydajność rozwiązywania nazw. Atakujący może to wykorzystać, wysyłając zapytania i kontrolując wolno odpowiadający serwer DNS.

CVE-2026-43620
Średnie

Podatność w rsync 3.4.2 i wcześniejszych pozwala złośliwemu serwerowi na celowe wywołanie błędu SIGSEGV w kliencie rsync. Problem leży w funkcji recv_files() w receiver.c, gdzie odczyt poza zakresem tablicy wskaźników prowadzi do dereferencji nieprawidłowego wskaźnika.

CVE-2026-43619
Średnie

Podatność w rsync 3.4.2 i wcześniejszych umożliwia atak lokalny przez wyścig na dowiązania symboliczne. Atakujący może podmienić dowiązanie w oknie czasowym między rozpoznaniem ścieżki a wykonaniem wywołania systemowego, co pozwala na operacje na plikach poza eksportowanym modułem rsync.

CVE-2026-43617
Średnie

Podatność w rsync 3.4.2 i wcześniejszych pozwala na ominięcie kontroli dostępu opartej na nazwie hosta w demonie rsync, gdy skonfigurowano chroot. Atakujący może kontrolować rekord PTR swojego adresu IP, aby połączyć się z nazwy hosta, którą administrator zablokował, gdy odwrotne DNS zwraca UNKNOWN.

CVE-2026-42526
Średnie

W backendach AWS Secrets Manager i SSM Parameter Store w `apache-airflow-providers-amazon` przed wersją 9.28.0, logika zakresu zespołu mogła rozwiązać `conn_id` zawierający `/` (np. `"my_team/conn"`) do tej samej ścieżki co sekret innego zespołu, gdy wywołujący nie miał kontekstu zespołu. Uprzywilejowany wywołujący bez kontekstu zespołu mógł pobrać sekret innego zespołu, tworząc kolidujący `conn_id`.

CVE-2026-34154
Średnie

Discourse to otwartoźródłowa platforma dyskusyjna. W wersjach przed 2026.1.4, 2026.3.1, 2026.4.1 i 2026.5.0-latest.1, występowała podatność w wtyczce discourse-subscriptions, która pozwalała użytkownikom uzyskać dostęp do grup objętych subskrypcją bez dokonania płatności. Problem został naprawiony w wymienionych wersjach.

CVE-2025-40904
Średnie

W funkcjonalności Smart Polling odkryto podatność na wstrzykiwanie HTML, spowodowaną niewłaściwą walidacją parametru wejściowego. Użytkownik z ograniczonymi uprawnieniami może przesłać złośliwe strategie zdalne zawierające tagi HTML, które są renderowane w przeglądarce ofiary.

CVE-2025-40903
Średnie

W funkcjonalności przywracania archiwum odkryto podatność na wstrzykiwanie HTML, spowodowaną niewłaściwą walidacją parametru wejściowego. Użytkownik z uprawnieniami administratora może zdefiniować złośliwy harmonogram przywracania zawierający tagi HTML.

CVE-2025-40902
Średnie

Wykryto podatność na wstrzykiwanie HTML w funkcjonalności użytkowników z powodu niewłaściwej walidacji parametru wejściowego. Użytkownik z uprawnieniami administratora może stworzyć złośliwego użytkownika, którego nazwa zawiera tagi HTML, co prowadzi do potencjalnych ataków phishingowych.

CVE-2025-40901
Średnie

W funkcjonalności Menedżera Poświadczeń odkryto podatność na wstrzyknięcie HTML, spowodowaną niewłaściwą walidacją parametru wejściowego. Użytkownik z uprawnieniami administratora może zdefiniować złośliwą tożsamość zawierającą tagi HTML, co prowadzi do potencjalnych ataków phishingowych.

CVE-2025-40900
Średnie

W funkcjonalności raportów odkryto podatność na wstrzykiwanie szablonów Angulara z powodu niewłaściwej walidacji parametru wejściowego. Użytkownik z uprawnieniami do raportów może zdefiniować złośliwy raport zawierający ładunek szablonu Angulara.

CVE-2026-4630
Średnie

W Keycloak znaleziono lukę, która pozwala uwierzytelnionemu klientowi wykorzystać podatność Insecure Direct Object Reference (IDOR) w punkcie końcowym API Ochrony Usług Autoryzacji. Znając unikalny identyfikator zasobu (UUID) należący do innego Serwera Zasobów w tym samym obszarze, klient może obejść kontrole autoryzacji.

CVE-2026-43492
Średnie

W jądrze Linux wykryto podatność na niedomiar liczby całkowitej w funkcji mpi_read_raw_from_sgl() w bibliotece MPI. Błąd występuje, gdy scatterlist zajmuje więcej bajtów niż parametr 'nbytes', a pierwsze 'nbytes + 1' bajtów jest zerowych, co prowadzi do pętli nieskończonej i DoS.

CVE-2026-43491
Średnie

W jądrze Linux wykryto podatność w module net: qrtr: ns, która pozwalała na nieograniczoną rejestrację serwerów na węzeł. Złośliwy klient może wysłać lawinę komunikatów NEW_SERVER, co prowadzi do wyczerpania pamięci systemowej. Problem został rozwiązany poprzez ograniczenie maksymalnej liczby rejestracji do 256 na węzeł oraz dodanie limitowania szybkości komunikatów błędów.

CVE-2026-37982
Średnie

W Keycloak odkryto lukę w uwierzytelnianiu, która pozwala zdalnemu atakującemu na ponowne wykorzystanie tokenów `ExecuteActionsActionToken` w procesie WebAuthn. Atakujący, przechwytując link e-mailowy do wykonania akcji, może zarejestrować własny uwierzytelniający w koncie ofiary.

CVE-2026-37981
Średnie

W Keycloak odkryto lukę w kontroli dostępu, która pozwala zdalnemu uwierzytelnionemu użytkownikowi, posiadającemu przynajmniej jeden zasób zarządzany przez użytkownika (UMA), na enumerację i zbieranie danych osobowych wszystkich użytkowników w danym realmie. Wysyłając odpowiednio skonstruowane żądania z dowolnymi nazwami użytkowników lub adresami e-mail, można uzyskać pełne obiekty profilu dla niepowiązanych użytkowników.

CVE-2026-37979
Średnie

W Keycloak odkryto lukę w kontroli dostępu, która pozwala poufnemu klientowi na ominięcie ograniczeń dotyczących odbiorców w punkcie introspekcji tokenów OpenID Connect (OIDC). Klient kontrolowany przez atakującego, posiadający ważne poświadczenia, może uzyskać dostęp do wrażliwych informacji zawartych w tokenach przeznaczonych dla innych serwerów zasobów.

CVE-2026-37978
Średnie

W Keycloak znaleziono lukę, która pozwala administratorowi o niskich uprawnieniach z rolą 'view-clients' na wykorzystanie punktów końcowych API Admin 'evaluate-scopes' z dowolnym identyfikatorem użytkownika. Ta podatność umożliwia wyciek danych osobowych (PII) między rolami, co pozwala na nieautoryzowany dostęp do tożsamości użytkowników i ich uprawnień.

CVE-2026-8922
Średnie

W Keycloak wykryto błąd polegający na tym, że gdy skonfigurowane są zarówno polityki unieważniania `notBefore` na poziomie realm, jak i klienta, funkcja OIDC Introspection nie honoruje prawidłowo polityki realm. Powoduje to, że tokeny, które powinny być unieważnione, pozostają aktywne, co może prowadzić do nieautoryzowanego dostępu lub przedłużenia ważności sesji.

CVE-2026-47317
Średnie

Podatność na niekontrolowaną rekurencję w Samsung Open Source Escargot pozwala na nadmierne przydzielanie zasobów. Problem ten dotyczy wersji Escargot: 590345cc6258317c5da850d846ce6baaf2afc2d3.

PoprzedniaStrona 268 z 606Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS