Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-13574
Niskie

W bibliotece LLVM (projekt llvm-project) do wersji 22.1.6 wykryto podatność w funkcji GCRelocateInst::getBasePtr w pliku IntrinsicInst.cpp. Manipulacja danymi wejściowymi w obsłudze plików Bitcode powoduje przepełnienie bufora sterty. Atak może być przeprowadzony lokalnie, a exploit został publicznie ujawniony.

CVE-2026-13573
Niskie

W bibliotece llvm-project do wersji 22.1.6 wykryto podatność w funkcji llvm::StringMap::insert w komponencie ValueSymbolTable. Manipulacja danymi prowadzi do przepełnienia bufora na stosie. Atak wymaga dostępu lokalnego, a exploit został opublikowany.

CVE-2026-13570
Niskie

W systemie SourceCodester Inventory Management System 1.0 wykryto podatność na atak XSS w pliku /api/users_handler.php. Manipulacja argumentem full_name w endpointcie rejestracji użytkownika umożliwia zdalne wykonanie skryptu. Exploit jest publicznie dostępny.

CVE-2026-13558
Niskie

W systemie CodeAstro Complaint Management System 1.0 wykryto podatność na atak XSS (Cross-Site Scripting) w komponencie Report Handler. Problem występuje podczas przetwarzania pliku /report/addreport, gdzie manipulacja argumentem Report Title umożliwia wstrzyknięcie złośliwego skryptu. Atak może być przeprowadzony zdalnie, a exploit został upubliczniony.

CVE-2025-0824
Niskie

W systemach Hitachi Virtual Storage Platform One Block 23, 24, 26, 28 brakuje walidacji aktualizacji oprogramowania układowego (firmware). Luka ta występuje w wersjach przed DKCMAIN A3-04-21-40/00 oraz ESM A3-04-21/00.

CVE-2026-13523
Niskie

W komponencie ISOBMFF Parser biblioteki GPAC do wersji 26.02.0 wykryto słabość w pliku src/utils/base_encoding.c. Lokalny atakujący może wykorzystać manipulację prowadzącą do nadmiernie skompresowanych danych, co może skutkować niekontrolowanym wzrostem rozmiaru danych po dekompresji. Publicznie dostępny exploit zwiększa ryzyko wykorzystania podatności.

CVE-2026-13514
Niskie

W aplikacji Chess Play and Learn na Androida do wersji 4.9.42 wykryto słabość związaną z przetwarzaniem pliku AndroidManifest.xml w komponencie com.chess. Manipulacja tym plikiem powoduje ujawnienie pliku kopii zapasowej poza kontrolowaną strefę. Atak wymaga fizycznego dostępu do urządzenia.

CVE-2026-13511
Niskie

W VoltAgent do wersji 2.1.17 wykryto podatność w komponencie Memory REST API. Funkcja handleGetMemoryConversation w pliku memory.handlers.ts nieprawidłowo autoryzuje dostęp po manipulacji argumentem conversationId. Atak może być przeprowadzony zdalnie, ale jest trudny do wykorzystania ze względu na wysoką złożoność.

CVE-2026-13510
Niskie

W bibliotece SimStudioAI sim do wersji 0.6.92 wykryto podatność w komponencie obsługi ochrony hasłem (apps/sim/lib/core/security/deployment.ts). Manipulacja prowadzi do użycia słabego skrótu (hasha), co umożliwia atak zdalny o wysokiej złożoności. Exploit został opublikowany, a naprawa oczekuje na akceptację.

CVE-2026-13504
Niskie

W systemie Project Management System 1.0 znaleziono podatność na atak XSS w pliku /mail.php (strona komponowania wiadomości). Atak może być przeprowadzony zdalnie, a szczegóły exploitów są publicznie dostępne.

CVE-2026-13493
Niskie

W ComfyUI-Copilot do wersji 2.0.28 znaleziono lukę w obsłudze przywracania punktów kontrolnych przepływu pracy. Problem dotyczy nieznanego przetwarzania w pliku backend/controller/conversation_api.py, co prowadzi do nieprawidłowej kontroli identyfikatorów zasobów. Atak może być przeprowadzony zdalnie, ale jest trudny do wykonania ze względu na wysoką złożoność.

CVE-2026-13491
Niskie

W komponencie MQTT Goodbye Handler w pliku main/protocols/mqtt_protocol.cc projektu xiaozhi-esp32 do wersji 2.2.6 wykryto podatność na atak DoS. Manipulacja argumentem session_id w funkcji Application::GetInstance prowadzi do odmowy usługi. Atak jest zdalny, ale wymaga wysokiego poziomu skomplikowania.

CVE-2026-13490
Niskie

W systemie GLPI w wersjach 11.0.5, 11.0.6 i 11.0.7 wykryto podatność w komponencie Document Handler. Funkcja Document::canViewFile w pliku front/document.send.php nieprawidłowo weryfikuje argument docid, co umożliwia ominięcie autoryzacji. Atak może być przeprowadzony zdalnie, ale jest trudny do wykorzystania ze względu na wysoką złożoność.

CVE-2026-13489
Niskie

W komponencie MCP Response Handler w oprogramowaniu 78 xiaozhi-esp32 do wersji 2.2.6 wykryto słabość polegającą na nieprawidłowej synchronizacji w funkcji ParseMessage pliku main/mcp_server.cc. Atak zdalny jest możliwy, ale jego złożoność jest wysoka, a wykorzystanie uznawane za trudne.

CVE-2026-13483
Niskie

W aplikacji arc53 DocsGPT do wersji 0.18.0 wykryto podatność w funkcji encrypt_credentials w pliku application/security/encryption.py. Polega ona na niewystarczającej weryfikacji autentyczności danych, co może umożliwić zdalny atak. Mimo wysokiego stopnia trudności exploita, został on opublikowany i może być wykorzystany.

CVE-2026-13482
Niskie

Wykryto podatność w skypilot do wersji 0.12.0, dotyczącą funkcji username.encode w pliku sky/users/server.py komponentu User ID Handler. Manipulacja prowadzi do użycia słabego hasha, co umożliwia atak zdalny o wysokiej złożoności.

CVE-2026-58052
Niskie

Podatność w 7-Zip dla Windows do wersji 26.02 pozwala na pominięcie znacznika Mark-of-the-Web podczas rozpakowywania spreparowanego archiwum RAR5. Mechanizm ochrony sprawdza dokładną nazwę 'Zone.Identifier', ale nie obsługuje rekordów STM o nazwie ':Zone.Identifier:$DATA', które NTFS kanonizuje do tego samego strumienia, nadpisując znacznik strefy internetowej wartością ZoneId=0. Drugi rekord STM '::$DATA' nadpisuje domyślny strumień danych pliku, umożliwiając atakującemu ominięcie ostrzeżeń SmartScreen/MotW i fałszowanie zawartości pliku.

CVE-2026-47206
Niskie

Podatność w Dragonfly przed wersją 1.39.9 umożliwia wstrzyknięcie protokołu RESP przez funkcję redis.error_reply() w Lua w EvalSerializer. Uwierzytelniony użytkownik może wstrzyknąć dowolne komunikaty RESP do strumienia odpowiedzi połączenia, co może prowadzić do desynchronizacji odpowiedzi w klientach korzystających z puli połączeń.

CVE-2023-20540
Niskie

Podatność w ASP (AMD Secure Processor) umożliwia uprzywilejowanemu atakującemu przeprowadzenie ataku brute-force na kod uwierzytelniania wiadomości (HMAC) z powodu obserwowalnych różnic czasowych. Może to prowadzić do naruszenia integralności danych poprzez wprowadzenie dowolnej wiadomości.

CVE-2026-3472
Niskie

Podatność w Mattermost umożliwia uwierzytelnionemu atakującemu kradzież danych poprzez wstrzyknięcie składni obrazka Markdown do wyników narzędzi AI bota. Ograniczenia renderowania obrazków Markdown nie są prawidłowo stosowane do postów z wynikami narzędzi AI, co pozwala na wyciek danych do kontrolowanego przez atakującego serwera po wyrenderowaniu przez klient ofiary.

PoprzedniaStrona 3 z 60Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS