Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.16)

CVE-2026-41932
Średnie

Vvveb przed wersją 1.0.8.3 zawiera podatność na trwałe cross-site scripting (XSS) w procesie rejestracji klienta. Kontroler Signup::addUser() kopiuje surowe wartości pola username z żądania POST do pola display_name przed sanityzacją, co pozwala atakującym na wstrzyknięcie kodu HTML i JavaScript.

CVE-2026-21730
Średnie

Verba jest podatna na atak typu Stored Cross-Site Scripting (XSS) w mechanizmie logowania. Nieautoryzowany atakujący może wprowadzić złośliwy ładunek XSS w polu nazwy użytkownika, który zostanie zapisany w logach aplikacji.

CVE-2026-6478
Średnie

W procesie uwierzytelniania PostgreSQL wykryto ukryty kanał czasowy przy porównywaniu haseł haszowanych algorytmem MD5. Umożliwia on atakującemu odzyskanie danych uwierzytelniających wystarczających do zalogowania. Podatność nie dotyczy domyślnego schematu scram-sha-256, ale bazy danych mogą zawierać stare hasła MD5 pochodzące z aktualizacji z wersji 13 lub wcześniejszych.

CVE-2026-43644
Średnie

Podinfo do wersji 6.11.2 zawiera odbitą podatność XSS w endpointach /echo i /api/echo. Funkcja echoHandler zapisuje treść żądania bezpośrednio w odpowiedzi bez ustawienia nagłówków Content-Type lub X-Content-Type-Options, co pozwala atakującym na wykonanie skryptów w kontekście pochodzenia podinfo.

CVE-2026-44919
Średnie

W OpenStack Ironic w wersjach do 35.x przed a3f6d73, podczas obsługi obrazów, może wystąpić nieskończona pętla w obliczeniach sum kontrolnych za pomocą adresu URL file:///dev/zero.

CVE-2026-8328
Średnie

Podatność w funkcji ftpcp() w module ftplib.py języka Python. Funkcja ta nie została zaktualizowana podczas naprawy CVE-2021-4189, co pozwala atakującemu na kontrolowanie adresu IP i portu przekazywanego do target.sendport().

CVE-2026-45228
Średnie

Quark Drive przed wersją 0.8.5 zawiera podatność na trwały atak XSS na stronie konfiguracji systemu. Szablon renderuje nazwy kluczy push_config za pomocą dyrektywy v-html bez odpowiedniego kodowania, co pozwala uwierzytelnionym atakującym na wstrzyknięcie złośliwego HTML lub JavaScript przez endpoint POST /update. Wstrzyknięty kod jest zapisywany na dysku i wykonywany w przeglądarkach wszystkich uwierzytelnionych użytkowników odwiedzających zakładkę konfiguracji systemu.

CVE-2026-44381
Średnie

W MISP, przed wersją 2.5.37, występowała podatność na wstrzykiwanie SQL w obsłudze parametrów sortowania kontrolowanych przez użytkownika w punktach końcowych listowania zdarzeń i atrybutów. Atakujący mógł wykorzystać złośliwy parametr sortowania do manipulacji generowanym zapytaniem SQL.

CVE-2026-44379
Średnie

MISP to otwartoźródłowa platforma do inteligencji zagrożeń i ich udostępniania. W wersjach przed 2.5.37, MISP Collections nie wymuszał walidacji UUID zgodnie z RFC 4122, co pozwalało na wprowadzenie niepoprawnych wartości UUID przez użytkowników, co mogło prowadzić do problemów z integralnością danych.

CVE-2026-44376
Średnie

CubeCart to rozwiązanie oprogramowania e-commerce. Przed wersją 6.7.0 występuje podatność na Reflected XSS w funkcji wyszukiwania, która pozwala na odzwierciedlenie nieautoryzowanego wejścia użytkownika bez sanitizacji, gdy wyszukiwanie zwraca dokładnie jeden produkt.

CVE-2025-27852
Średnie

Lokalnie serwisowana strona internetowa na urządzeniu Garmin WDU (w wersjach 1.4.6 i 5.0) umożliwia atak typu reflected cross site scripting (XSS). Atakujący w lokalnej sieci może wykonać dowolny kod JavaScript w kontekście strony WDU, co może prowadzić do pełnego dostępu administracyjnego do urządzenia.

CVE-2026-33381
Średnie

Po odwołaniu dostępu użytkownika do mintowania tokenów dla konta serwisowego, w niektórych przypadkach nadal możliwe jest to przez kilka sekund. Użytkownik ostatecznie straci dostęp do tej funkcji.

CVE-2026-33380
Średnie

Podatność w SQL Expressions umożliwia uwierzytelnionemu atakującemu odczyt dowolnych plików z systemu plików serwera Grafana. Dotyczy to tylko instancji z włączoną funkcją sqlExpressions.

CVE-2026-33378
Średnie

Wykorzystanie makra $__timeGroup może prowadzić do przepełnienia pamięci (OOM) poprzez przeciążenie serwera. Wymaga to źródła danych SQL, a jeśli serwer jest skonfigurowany do automatycznego ponownego uruchamiania, wpływ ataku jest minimalny lub nieistniejący.

CVE-2026-28383
Średnie

Podatność w wtyczce Grafana umożliwia nieograniczone przydzielanie pamięci poprzez odczyt całego ciała żądania do pamięci. Użytkownik z odpowiednimi uprawnieniami może wykorzystać tę lukę, aby wywołać stan braku pamięci, co może prowadzić do odmowy usługi.

CVE-2026-28380
Średnie

Każdy edytor mógł usunąć dowolny zrzut, nawet jeśli nie miał dostępu do jego odczytu lub zapisu.

CVE-2026-28379
Średnie

W Grafana Live występuje warunkowa rywalizacja, która pozwala uwierzytelnionym użytkownikom z rolą Viewer na wywołanie awarii serwera poprzez wysyłanie równoczesnych żądań, co prowadzi do krytycznego błędu dostępu do mapy. Skutkuje to całkowitą niedostępnością usługi, wymagającą ponownego uruchomienia serwera Grafana.

CVE-2026-28376
Średnie

Punkt końcowy push w Grafana Live może być wykorzystany do nieograniczonego przydzielania pamięci poprzez wysłanie dużego lub strumieniowego ciała żądania, co może prowadzić do warunków braku pamięci. Użytkownik z autoryzacją mający dostęp do API Grafana Live może wywołać ten problem.

CVE-2026-28374
Średnie

Edytorzy mogli usuwać dowolne adnotacje, nawet te, do których nie mają dostępu do odczytu. Użytkownik edytora nie może tworzyć ani odczytywać adnotacji.

CVE-2026-0243
Średnie

Podatność DoS w urządzeniach Palo Alto Networks Prisma SD-WAN ION pozwala nieuwierzytelnionemu atakującemu w sąsiedztwie sieciowym na spowodowanie przerwania działania systemu poprzez wysłanie specjalnie spreparowanego pakietu IPv6.

PoprzedniaStrona 277 z 612Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS