Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.16)

CVE-2026-6587
Średnie

W bibliotece RAGAS do wersji 0.4.3 odkryto podatność na fałszowanie żądań po stronie serwera (SSRF) w module Collections. Funkcje _try_process_local_file/_try_process_url w pliku util.py nieprawidłowo walidują argument retrieved_contexts, co umożliwia zdalnemu atakującemu wykonanie żądań do wewnętrznych zasobów. Exploit został opublikowany, a dostawca nie odpowiedział na zgłoszenie.

CVE-2026-40293
Średnie

Podatność w OpenFGA od wersji 0.1.4 do 1.13.1 powoduje, że przy użyciu uwierzytelniania preshared-key i włączonym playgroundzie, klucz API jest dołączany do odpowiedzi HTML endpointu /playground. Endpoint ten jest domyślnie włączony i nie wymaga uwierzytelnienia, co może prowadzić do wycieku wrażliwych danych.

CVE-2026-31927
Średnie

Podatność w oprogramowaniu układowym Anviz CX7 umożliwia uwierzytelnionemu atakującemu przesłanie pliku CSV z manipulacją ścieżką (path traversal), co pozwala nadpisać dowolne pliki, w tym /etc/shadow. W połączeniu ze zmianami ustawień debugowania może to prowadzić do nieautoryzowanego dostępu SSH.

CVE-2026-6437
Średnie

W składniku obsługi wolumenów w AWS EFS CSI Driver (aws-efs-csi-driver) przed wersją v3.0.1 występuje niewłaściwe neutralizowanie ograniczników argumentów, co pozwala zdalnym uwierzytelnionym użytkownikom z uprawnieniami do tworzenia PersistentVolume na wstrzykiwanie dowolnych opcji montowania za pomocą wstrzyknięcia przecinka.

CVE-2026-40002
Średnie

Podatność w Red Magic 11 Pro (NX809J) umożliwia nieuprzywilejowanym aplikacjom wywoływanie wrażliwych operacji. Brak walidacji dostępu do interfejsu usługi pozwala atakującemu zapisywać pliki do określonych partycji i ustawiać zapisywalne właściwości systemowe.

CVE-2026-35469
Średnie

Biblioteka spdystream w wersji 0.5.0 i niższych nie waliduje kontrolowanych przez atakującego liczników i długości przed alokacją pamięci w parserze ramek SPDY/3. Trzy ścieżki alokacji (licznik wpisów SETTINGS, licznik nagłówków w parseHeaderValueBlock oraz rozmiary poszczególnych pól nagłówka) odczytują 32-bitowe liczby całkowite i używają ich bezpośrednio jako rozmiarów alokacji bez sprawdzania granic. Ponieważ bloki nagłówków SPDY są skompresowane za pomocą zlib, mały pakiet w sieci może dekompresować się do dużych wartości kontrolowanych przez atakującego.

CVE-2026-3861
Średnie

Klient LINE dla iOS w wersjach przed 26.3.0 zawiera podatność w przeglądarce wbudowanej, gdzie otwarcie spreparowanej strony internetowej może wielokrotnie wywoływać okna dialogowe na poziomie systemu operacyjnego z powodu niewystarczających zabezpieczeń przy obsłudze dowolnych schematów URL, co może spowodować tymczasową niesprawność urządzenia z iOS.

CVE-2026-40503
Średnie

Podatność typu path traversal w OpenHarness przed commit dd1d235 umożliwia zdalnym użytkownikom bramy z dostępem do czatu odczyt dowolnych plików poprzez podanie sekwencji nawigacji po ścieżce w komendzie /memory show. Atakujący może ominąć walidację katalogu projektu i uzyskać dostęp do wrażliwych plików dostępnych dla procesu OpenHarness.

CVE-2026-21726
Średnie

Podatność CVE-2026-21726 pozwala atakującemu na odczyt plików poprzez wykorzystanie podwójnego kodowania w parametrze namespace w punkcie końcowym Ruler API.

CVE-2026-20170
Średnie

Podatność w funkcji Desktop Agent Cisco Webex Contact Center umożliwiała zdalnemu atakującemu przeprowadzenie ataku cross-site scripting (XSS) bez uwierzytelnienia. Problem wynikał z nieprawidłowego przetwarzania treści HTML i skryptów. Firma Cisco załatała już tę lukę w usłudze, więc klienci nie muszą podejmować żadnych działań.

CVE-2026-20148
ŚrednieEPSS 95%

Podatność w Cisco ISE i Cisco ISE-PIC umożliwia uwierzytelnionemu zdalnie atakującemu przeprowadzenie ataku typu path traversal na system operacyjny i odczyt dowolnych plików. Luka wynika z nieprawidłowej walidacji danych wejściowych użytkownika.

CVE-2026-20136
Średnie

Podatność w interfejsie CLI Cisco Identity Services Engine (ISE) i Cisco ISE Passive Identity Connector (ISE-PIC) umożliwia uwierzytelnionemu lokalnemu atakującemu z uprawnieniami administracyjnymi wykonanie wstrzyknięcia poleceń w systemie operacyjnym i podniesienie uprawnień do roota. Problem wynika z niewystarczającej walidacji danych wejściowych użytkownika.

CVE-2026-20132
Średnie

W interfejsie zarządzania sieciowego Cisco Identity Services Engine (ISE) wykryto wiele podatności, które umożliwiają uwierzytelnionemu zdalnemu atakującemu z uprawnieniami administracyjnymi do zapisu przeprowadzenie ataków typu stored XSS lub reflected XSS na użytkownika tego interfejsu. Podatności wynikają z niedostatecznego oczyszczania danych dostarczanych przez użytkownika, które są przechowywane na stronie internetowej.

CVE-2026-0636
Średnie

Podatność na wstrzykiwanie LDAP w bibliotece BC-JAVA bcprov firmy Legion of the Bouncy Castle Inc. występuje we wszystkich modułach prov. Problem dotyczy plików programu LDAPStoreHelper i umożliwia atakującemu manipulację zapytaniami LDAP.

CVE-2026-5713
Średnie

Moduł 'profiling.sampling' (Python 3.15+) oraz możliwości introspekcji 'asyncio' (3.14+) mogą być wykorzystane do odczytu i zapisu adresów w uprzywilejowanym procesie, jeśli ten proces połączy się z złośliwym lub 'zainfekowanym' procesem Python za pomocą funkcji zdalnego debugowania.

CVE-2026-22155
Średnie

Podatność w Fortinet FortiSOAR (wersje PaaS i on-premise) umożliwia atakującemu przechwycenie wrażliwych informacji przesyłanych w postaci niezaszyfrowanego tekstu. Luka występuje w wielu wersjach produktu, od 7.3 do 7.6.

CVE-2026-21742
Średnie

Podatność w Fortinet FortiSOAR (wersje PaaS i on-premise) umożliwia uwierzytelnionemu atakującemu odczytanie haseł w postaci jawnego tekstu w odpowiedziach na zapytania Secure Message Exchange i Radius, jeśli są skonfigurowane. Problem dotyczy przesyłania wrażliwych informacji w niezabezpieczonej formie.

CVE-2026-37980
Średnie

W Keycloak znaleziono lukę w stronie logowania do wyboru organizacji. Zdalny atakujący z uprawnieniami `manage-realm` lub `manage-organizations` może wykorzystać podatność na przechowywane Cross-Site Scripting (XSS), co pozwala na wykonanie złośliwego kodu JavaScript w przeglądarce użytkownika.

CVE-2025-69893
Średnie

Podatność kanału bocznego w implementacji przetwarzania mnemonicznego BIP-39 w portfelach sprzętowych Trezor (wersje 1.13.0-1.14.0) umożliwia atakującemu z fizycznym dostępem podczas konfiguracji odzyskanie kodu mnemonicznego poprzez analizę śladów mocy obliczeniowej z wykorzystaniem głębokiego uczenia. Problem został załatany.

CVE-2026-34257
Średnie

W wyniku podatności typu Open Redirect w SAP NetWeaver Application Server ABAP, nieautoryzowany atakujący może stworzyć złośliwy adres URL, który po otwarciu przez ofiarę przekieruje ją na stronę kontrolowaną przez atakującego. Podatność ta ma niski wpływ na poufność i integralność aplikacji, nie wpływając na dostępność.

PoprzedniaStrona 298 z 619Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS