Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.16)

CVE-2026-5525
Średnie

W Notepad++ w wersji 8.9.3 występuje podatność na przepełnienie bufora stosu w komponencie obsługi przeciągania i upuszczania plików. Problem występuje, gdy użytkownik przeciąga i upuszcza ścieżkę katalogu o dokładnie 259 znakach bez końcowego ukośnika, co prowadzi do przepełnienia bufora i awarii aplikacji.

CVE-2026-4482
Średnie

Pliki certyfikatów instalatora w folderze …/bootstrap/common/ssl na systemach Windows nie mają ograniczonych uprawnień, co pozwala użytkownikom na odczyt i wykonanie. Szczególnie plik client.key może prowadzić do wykorzystania podatności, ponieważ ujawnia materiały tożsamości agenta lokalnie uwierzytelnionym standardowym użytkownikom.

CVE-2026-5263
Średnie

Podatność w bibliotece wolfSSL powoduje, że ograniczenia nazw URI (nameConstraints) z certyfikatów pośrednich są parsowane, ale nie są egzekwowane podczas weryfikacji łańcucha certyfikatów. Oznacza to, że zaufany, ale skompromitowany podrzędny urząd certyfikacji (sub-CA) może wystawić certyfikat końcowy z wpisem URI w SAN, który narusza ograniczenia nałożone przez nadrzędny CA, a wolfSSL uzna go za prawidłowy.

CVE-2026-39848
Średnie

Aplikacja Dockyard przed wersją 1.1.0 nie posiada ochrony CSRF dla operacji uruchamiania i zatrzymywania kontenerów Docker. Atakujący może zmusić przeglądarkę zalogowanego administratora do wykonania żądań GET, co pozwoli na nieautoryzowane zarządzanie kontenerami.

CVE-2026-33774
Średnie

W systemie Junos OS na platformach MX z kartami liniowymi MPC10, MPC11, LC4800, LC9600 oraz MX304, filtry firewall zastosowane na interfejsie pętli zwrotnej lo0.n (gdzie n jest liczbą różną od 0) nie są wykonywane, gdy interfejs ten znajduje się w globalnej VRF (domyślnej instancji routingu). Umożliwia to nieuwierzytelnionemu atakującemu sieciowemu ominięcie skonfigurowanego filtra i uzyskanie dostępu do płaszczyzny sterowania urządzenia.

CVE-2026-21915
ŚrednieEPSS 81%

Podatność w interfejsie CLI narzędzia Juniper Networks Support Insights (JSI) Virtual Lightweight Collector (vLWC) pozwala lokalnemu atakującemu z wysokimi uprawnieniami na eskalację do roota. CLI akceptuje dane wejściowe bez odpowiedniej walidacji, co umożliwia wstrzyknięcie poleceń powłoki wykonywanych z uprawnieniami roota.

CVE-2026-21904
Średnie

W Juniper Networks Junos Space wykryto podatność na atak XSS (Cross-site Scripting) w polu filtru listy. Umożliwia ona atakującemu wstrzyknięcie złośliwych znaczników skryptów, które po odwiedzeniu przez innego użytkownika (w tym administratora) pozwalają na wykonanie poleceń z jego uprawnieniami. Problem dotyczy wszystkich wersji przed 24.1R5 Patch V3.

CVE-2026-4878
Średnie

W bibliotece libcap znaleziono usterkę polegającą na wyścigu typu TOCTOU w funkcji `cap_set_file()`. Lokalny nieuprzywilejowany użytkownik z prawem zapisu do katalogu nadrzędnego może przekierować aktualizacje atrybutów capabilities do kontrolowanego przez siebie pliku.

CVE-2025-70365
Średnie

W systemie Kiamo przed wersją 8.4 wykryto podatność na trwały atak XSS (stored cross-site scripting). Wynika ona z nieprawidłowego kodowania danych wejściowych użytkownika w interfejsach administracyjnych. Uwierzytelniony użytkownik administracyjny może wstrzyknąć dowolny kod JavaScript, który zostanie wykonany w przeglądarkach innych użytkowników przeglądających dotknięte strony.

CVE-2026-5890
Średnie

Występujący wyścig w WebCodecs w Google Chrome przed wersją 147.0.7727.55 umożliwiał zdalnemu atakującemu uzyskanie potencjalnie wrażliwych informacji z pamięci procesu za pomocą spreparowanej strony HTML.

CVE-2026-4837
Średnie

Podatność CVE-2026-4837 dotyczy wstrzyknięcia eval() w logice beaconingu agenta Rapid7 Insight dla systemów Linux, co teoretycznie może umożliwić atakującemu zdalne wykonanie kodu jako root poprzez spreparowaną odpowiedź beacon. Mimo to, ze względu na użycie mutual TLS (mTLS) do weryfikacji poleceń z platformy Rapid7, wykorzystanie tej funkcji zdalnie jest mało prawdopodobne bez wcześniejszego, wysoko uprzywilejowanego dostępu do platformy backendowej.

CVE-2026-2377
Średnie

W Red Hat Quay i mirror registry dla Red Hat OpenShift wykryto podatność Server-Side Request Forgery (SSRF) w funkcji eksportu logów. Uwierzytelniony użytkownik może podać dowolny adres URL wywołania zwrotnego, a proces backendowy wykonuje żądania HTTP po stronie serwera do tego adresu. Atakujący może wykorzystać tę lukę do wysyłania żądań z wewnętrznej sieci aplikacji, co może prowadzić do ujawnienia poufnych informacji.

CVE-2025-57175
Średnie

Urządzenia Siklu EtherHaul 8010 z oprogramowaniem siklu-uimage-nxp-enc-10_6_2-18707-ea552dc00b mają statyczne hasło dla konta root.

CVE-2026-35023
Średnie

W wersjach Wimi Teamwork On-Premises przed 8.2.0 występuje podatność na nieautoryzowany dostęp do obiektów w punkcie końcowym preview.php, gdzie parametr item_id nie jest odpowiednio zabezpieczony. Atakujący mogą enumerować sekwencyjne wartości item_id, aby uzyskać dostęp do podglądów obrazów z prywatnych lub grupowych rozmów innych użytkowników.

CVE-2026-31411
Średnie

W jądrze Linuxa wykryto podatność w sterowniku ATM (tryb sigd_send), gdzie wskaźnik vcc pochodzący z przestrzeni użytkownika nie był walidowany. Złośliwy proces może wysłać fałszywy wskaźnik przez sendmsg(), co prowadzi do dereferencji nieprawidłowej pamięci i awarii systemu.

CVE-2026-1672
Średnie

Wtyczka BEAR – Bulk Editor and Products Manager Professional dla WooCommerce do WordPressa jest podatna na atak Cross-Site Request Forgery (CSRF) we wszystkich wersjach do 1.1.5 włącznie. Podatność wynika z braku walidacji nonce w funkcji woobe_redraw_table_row(), co umożliwia nieuwierzytelnionym atakującym aktualizację danych produktów WooCommerce, takich jak ceny, opisy i inne pola produktów, poprzez sfałszowane żądanie, pod warunkiem że nakłonią administratora lub menedżera sklepu do wykonania akcji, np. kliknięcia w link.

CVE-2026-22680
Średnie

W aplikacji OpenViking przed wersją 0.3.3 brakuje autoryzacji w endpointach do monitorowania zadań. Niezalogowani atakujący mogą wyliczać i odczytywać metadane zadań innych użytkowników, w tym typ zadania, status, identyfikatory zasobów, URI archiwów, wyniki i błędy.

CVE-2026-22675
Średnie

OCS Inventory NG Server w wersji 2.12.3 i wcześniejszych zawiera podatność na trwałe ataki XSS, która pozwala nieuwierzytelnionym atakującym na wykonanie dowolnego kodu JavaScript poprzez przesłanie złośliwych nagłówków HTTP User-Agent do punktu końcowego /ocsinventory. Atakujący mogą rejestrować fałszywe agenty lub tworzyć żądania ze złośliwymi wartościami User-Agent, które są przechowywane bez sanityzacji i renderowane z niewystarczającym kodowaniem w konsoli internetowej, co prowadzi do wykonania dowolnego JavaScriptu w przeglądarkach uwierzytelnionych użytkowników przeglądających panel statystyk.

CVE-2026-30613
Średnie

Podatność ujawniania informacji w AZIOT 1 Node Smart Switch (16A) z oprogramowaniem w wersji 1.1.9 wynika z nieprawidłowej kontroli dostępu do interfejsu debugowania UART. Atakujący z fizycznym dostępem może podłączyć się do interfejsu UART i uzyskać poufne informacje z konsoli szeregowej bez uwierzytelnienia.

CVE-2026-31313
Średnie

W Feehi CMS v2.1.1 wykryto podatność na trwały atak XSS w module tworzenia/edycji treści. Uwierzytelniony atakujący może wstrzyknąć złośliwy kod JavaScript lub HTML do pola Content, który zostanie wykonany w przeglądarkach innych użytkowników.

PoprzedniaStrona 286 z 604Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS