Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.15)

CVE-2026-25834
Średnie

Mbed TLS w wersjach od 3.3.0 do 3.6.5 oraz w wersji 4.0.0 umożliwia obniżenie poziomu algorytmu. Atakujący może wykorzystać tę podatność do wymuszenia użycia słabszych algorytmów kryptograficznych.

CVE-2026-20174
Średnie

Podatność w funkcji aktualizacji metadanych Cisco Nexus Dashboard Insights umożliwia uwierzytelnionemu, zdalnemu atakującemu zapis dowolnych plików w systemie. Problem wynika z niewystarczającej walidacji pliku aktualizacji metadanych.

CVE-2026-20042
Średnie

Podatność w funkcji tworzenia kopii zapasowych konfiguracji Cisco Nexus Dashboard umożliwia atakującemu, który posiada hasło szyfrowania oraz dostęp do pełnych lub częściowych plików kopii zapasowych, uzyskanie dostępu do poufnych informacji. Problem wynika z przechowywania danych uwierzytelniających w zaszyfrowanych plikach kopii zapasowych.

CVE-2026-29598
Średnie

W systemie DDSN Interactive Acora CMS w wersji 10.7.1 odkryto wiele podatności na trwały cross-site scripting (XSS) w punkcie końcowym submit_add_user.asp. Atakujący może wstrzyknąć złośliwy kod JavaScript lub HTML do parametrów First Name i Last Name, co prowadzi do wykonania skryptów w przeglądarkach innych użytkowników.

CVE-2026-34999
Średnie

OpenViking w wersjach od 0.2.5 do 0.2.13 zawiera brak uwierzytelniania w routerze proxy bota, co pozwala zdalnym, nieuwierzytelnionym atakującym na dostęp do chronionych funkcji proxy bota poprzez wysyłanie żądań do endpointów POST /bot/v1/chat i POST /bot/v1/chat/stream. Atakujący mogą ominąć mechanizmy uwierzytelniania i bezpośrednio komunikować się z backendem bota przez proxy OpenViking bez podawania prawidłowych poświadczeń.

CVE-2026-23401
Średnie

W jądrze Linux w podsystemie KVM dla architektury x86 wykryto podatność polegającą na tym, że podczas instalacji emulowanego wpisu MMIO SPTE nie jest usuwany istniejący wpis shadow-present. Może to prowadzić do ostrzeżenia i potencjalnie nieprawidłowego działania, gdy host userspace modyfikuje pamięć gościa.

CVE-2026-5273
Średnie

Wykorzystanie po zwolnieniu pamięci w CSS w Google Chrome przed wersją 146.0.7680.178 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu wewnątrz piaskownicy za pomocą spreparowanej strony HTML.

CVE-2026-2394
Średnie

Podatność typu Buffer Over-read w RTI Connext Professional (Biblioteki Core) pozwala na nadmierne odczytywanie buforów. Problem ten dotyczy wersji Connext Professional od 7.4.0 do przed 7.7.0, od 7.0.0 do przed 7.3.1.1, od 6.1.0 do przed 6.1.2.34, od 6.0.0 do przed 6.0.*, od 5.3.0 do przed 5.3.*, oraz od 4.3x do przed 5.2.*.

CVE-2026-34237
Średnie

MCP Java SDK, oficjalne SDK Java dla serwerów i klientów Model Context Protocol, zawierał podatność na CORS z twardo zakodowanym znakiem wieloznacznym przed wersjami 0.83.0, 1.0.1 i 1.1.1. Problem ten został naprawiony w wymienionych wersjach.

CVE-2026-33997
Średnie

W frameworku Moby (Docker) przed wersją 29.3.1 wykryto podatność umożliwiającą ominięcie walidacji uprawnień wtyczek podczas instalacji. Błąd w logice porównywania uprawnień demona powoduje, że może on zaakceptować zestaw uprawnień różniący się od zatwierdzonego przez użytkownika, a w przypadku wtyczek żądających dokładnie jednego uprawnienia porównanie w ogóle nie jest wykonywane.

CVE-2026-33983
Średnie

W FreeRDP przed wersją 3.24.2 wykryto podatność w funkcji progressive_decompress_tile_upgrade(), która nie przerywa wykonania po wykryciu niezgodności, a jedynie loguje ostrzeżenie. Użycie zawiniętej wartości (247) jako wykładnika przesunięcia prowadzi do niezdefiniowanego zachowania i pętli wykonującej około 80 miliardów iteracji, powodując odmowę usługi (DoS) na CPU.

CVE-2026-29597
Średnie

W DDSN Interactive cm3 Acora CMS w wersji 10.7.1 występuje podatność polegająca na nieprawidłowej kontroli dostępu. Użytkownik z uprawnieniami edytora może uzyskać dostęp do wrażliwych plików konfiguracyjnych poprzez bezpośrednie przeglądanie endpointu „/Admin/file_manager/file_details.asp” i manipulowanie parametrem „file”. Poprzez odwołanie się do konkretnych plików (np. cm3.xml) atakujący może odzyskać dane uwierzytelniające administratora systemu, ustawienia SMTP, dane dostępowe do bazy danych oraz inne poufne informacje.

CVE-2026-30082
Średnie

W systemie IngEstate Server w wersji 11.14.0 wykryto wiele podatności na trwały skrypt krzyżowy (XSS) w funkcji edycji strony listy pakietów oprogramowania. Atakujący może wstrzyknąć złośliwy kod do parametrów About application, What's news lub Release note, co prowadzi do wykonania dowolnych skryptów lub kodu HTML.

CVE-2026-28528
Średnie

Podatność w bibliotece BTstack przed wersją 1.8.1 umożliwia odczyt poza zakresem w obsłudze komendy GET_FOLDER_ITEMS w profilu AVRCP Browsing Target. Brak walidacji granic pakietów i liczby atrybutów pozwala sparowanemu atakującemu przez Bluetooth Classic na wywołanie awarii i uszkodzenie stanu bitmapy atrybutów.

CVE-2026-5119
Średnie

W libsoup znaleziono lukę, która pozwala na przesyłanie wrażliwych ciasteczek sesyjnych w postaci niezaszyfrowanej podczas nawiązywania tuneli HTTPS przez skonfigurowany proxy HTTP. Atakujący mogą przechwycić te ciasteczka, co prowadzi do potencjalnego przejęcia sesji lub podszywania się pod użytkownika.

CVE-2026-23399
Średnie

W jądrze systemu Linux zidentyfikowano podatność, która została naprawiona. Problem dotyczy możliwego wycieku pamięci w wyrażeniu stanowym w ścieżce błędu, gdy klonowanie drugiego wyrażenia stanowego nie powiedzie się.

CVE-2026-34411
Średnie

Podatność w Appsmith w wersjach przed 1.98 ujawnia wrażliwe punkty końcowe API zarządzania instancją bez wymaganego uwierzytelnienia. Niezalogowani atakujący mogą odczytać metadane konfiguracji, informacje licencyjne oraz niesolone hasze SHA-256 domen e-mail administratora.

CVE-2026-33758
Średnie

OpenBao w wersjach przed 2.5.2 z włączoną metodą uwierzytelniania OIDC/JWT i rolą z `callback_mode=direct` jest podatny na atak XSS poprzez parametr `error_description` na stronie nieudanego uwierzytelnienia. Atakujący może przechwycić token używany w interfejsie WWW ofiary.

CVE-2026-30689
Średnie

W Blog.Core do wersji bcb4d17 interfejs API getinfobytoken ma nieprawidłową kontrolę dostępu, co prowadzi do ujawnienia wrażliwych danych. Nieautoryzowane strony mogą uzyskać poufne informacje o koncie administratora za pomocą ważnego tokena, zagrażając bezpieczeństwu systemu.

CVE-2026-28375
Średnie

Źródło danych testowych może być wykorzystane do wywołania awarii z powodu braku pamięci w Grafanie.

PoprzedniaStrona 272 z 588Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS