Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-58170
Wysokie

Podatność w Vibe-Trading przed wersją 0.1.10 pozwala na wstrzyknięcie ścieżki (path traversal) podczas budowania ścieżki pliku propozycji. Atakujący może załadować kontrolowany plik JSON jako autorytatywny mandat handlowy, omijając walidację limitów.

CVE-2026-58169
Wysokie

Podatność DNS rebinding w Vibe-Trading przed wersją 0.1.10 umożliwia ominięcie uwierzytelniania bearer-token. Atakujący może wykorzystać zaufanie serwera do adresów TCP dla klientów loopback oraz brak walidacji nagłówka Host przy wiązaniu do 0.0.0.0 z uwierzytelnionym CORS. Skutkuje to zdalnym wykonaniem kodu i kradzieżą poświadczeń.

CVE-2026-58168
Wysokie

Podatność w DeepTutor przed wersją 1.4.10 umożliwia ominięcie autoryzacji, przez co użytkownicy z niskimi uprawnieniami mogą wywoływać nieograniczone narzędzia MCP. Funkcja allowed_mcp_tools zwraca None zamiast wyniku odmowy, gdy mcp_tools jest pominięte w przyznanych uprawnieniach.

CVE-2026-58165
Wysokie

W OpenZiti do wersji 2.0.0 (poprawione w commicie 3027fdf) występuje podatność na eskalację uprawnień. Uwierzytelniony użytkownik niebędący administratorem, posiadający szczegółowe uprawnienia do zarządzania rejestracjami, może utworzyć token rejestracyjny dla dowolnej tożsamości, w tym domyślnego administratora, ponieważ funkcja ApplyCreate w controller/model/enrollment_manager.go sprawdza tylko istnienie docelowej tożsamości, bez autoryzacji wiążącej żądającego z tą tożsamością.

CVE-2026-49451
Wysokie

Podatność w bibliotece Microsoft.OpenApi (OpenAPI.NET SDK) pozwala na przerwanie działania procesu przez przepełnienie stosu podczas parsowania dokumentu OpenAPI z cyklicznym odwołaniem do schematu. Problem występuje w wersjach od 2.0.0-preview11 do 2.7.5 i 3.5.4, dotyczy zarówno czytników JSON, jak i YAML.

CVE-2026-48307
Wysokie

Podatność odbita XSS w ColdFusion w wersjach 2025.9, 2023.20 i wcześniejszych. Atakujący może wstrzyknąć złośliwy skrypt do strony, co może prowadzić do wykonania dowolnego kodu w kontekście bieżącego użytkownika. Wymagana jest interakcja ofiary (kliknięcie w link).

CVE-2026-48285
Wysokie

Podatność SSRF w ColdFusion umożliwia obejście zabezpieczeń i nieautoryzowany odczyt danych. Atak nie wymaga interakcji użytkownika, a zakres podatności jest zmieniony.

CVE-2026-44949
Wysokie

Podatność w Rancher FleetWorkspace umożliwia nieautoryzowanemu atakującemu z dostępem sieciowym do usługi rancher-webhook w klastrze na tworzenie obiektów Kubernetes związanych z przestrzeniami roboczymi z tożsamością wybraną przez atakującego. Problem dotyczy wersji od 0.7.0 do 0.7.10, 0.8.0 do 0.8.7, 0.9.0 do 0.9.6 oraz 0.10.0 do 0.10.7.

CVE-2026-27957
Wysokie

W Coolify przed wersją 4.0.0-beta.464 wykryto podatność na wstrzykiwanie poleceń w funkcji zarządzania certyfikatami CA. Uwierzytelniony użytkownik może wykonać dowolne polecenia jako skonfigurowany użytkownik SSH na zarządzanym serwerze.

CVE-2026-8451
Wysokie

Podatność w NetScaler ADC i NetScaler Gateway wynika z niewystarczającej walidacji danych wejściowych, co prowadzi do odczytu poza dozwolonym obszarem pamięci, gdy urządzenie jest skonfigurowane jako dostawca tożsamości SAML.

CVE-2026-58016
Wysokie

W bibliotece GLib wykryto podatność polegającą na błędzie stanu w funkcji g_dbus_node_info_new_for_xml() podczas przetwarzania nieprawidłowego XML-a introspekcji D-Bus. Zagnieżdżenie elementu <node> wewnątrz innych elementów, takich jak <method>, <signal>, <property> lub <arg>, może prowadzić do przepełnienia liczby całkowitej bez znaku i odczytu poza zakresem pamięci, co skutkuje odmową usługi.

CVE-2026-58014
Wysokie

W bibliotece GLib wykryto błąd off-by-one w funkcji g_key_file_get_locale_string_list w pliku gkeyfile.c. Błąd występuje podczas ładowania pliku klucza z pustą wartością, co może prowadzić do dostępu poza zakresem o 1 bajt lub do odmowy usługi, gdy dostęp poza zakresem przekroczy granicę strony.

CVE-2026-53433
Wysokie

Podatność w narzędziu fzf w trybie --listen powoduje odmowę usługi (DoS) z powodu nieefektywnego przetwarzania treści HTTP, które wykorzystuje wielokrotną konkatenację ciągów znaków, prowadząc do kwadratowej złożoności czasowej (O(n²)). Specjalnie spreparowane żądanie POST z wieloma małymi segmentami może wywołać nadmierne zużycie CPU, blokując jednowątkowy serwer HTTP i uniemożliwiając obsługę innych klientów.

CVE-2026-53432
Wysokie

W narzędziu fzf wykryto podatność na przepełnienie liczb całkowitych w funkcji FuzzyMatchV2. Gdy długość linii wejściowej wynosi około 2 200 000 bajtów, a długość wzorca 999 bajtów, dochodzi do przepełnienia, co powoduje nieprawidłowe granice wycinka. Środowisko uruchomieniowe Go wykrywa błąd i natychmiast kończy proces z nieodwracalną paniką.

CVE-2026-44946
Wysokie

Podatność w Rancher umożliwia ponowne użycie asercji SAML w obsłudze Assertion Consumer Service (ACS), co może prowadzić do ataków typu man-in-the-middle. Problem dotyczy wersji Rancher 2.14.0 przed 2.14.3.

CVE-2026-13474
Wysokie

Podatność umożliwia atak DoS poprzez wysłanie zniekształconych żądań HTTP/2 do NetScaler ADC i NetScaler Gateway. Problem występuje, gdy HTTP/2 jest włączone w profilu HTTP i powiązane z serwerem wirtualnym (LB, CS, VPN) lub usługą skonfigurowaną na urządzeniu.

CVE-2026-10817
Wysokie

Podatność w NetScaler ADC i NetScaler Gateway spowodowana niewystarczającą walidacją wejścia prowadzi do odczytu poza pamięcią, jeśli znacznik czasu TCP jest włączony w profilu TCP i powiązany z serwerem wirtualnym (typu LB, CS, VPN) lub usługą skonfigurowaną na urządzeniu.

CVE-2026-10816
Wysokie

Podatność umożliwia nieuwierzytelnionemu atakującemu odczyt dowolnych plików na urządzeniach NetScaler ADC i NetScaler Gateway, jeśli dostęp do NSIP, adresu IP zarządzania klastrem lub SNIP z dostępem zarządczym jest włączony.

CVE-2026-57081
Wysokie

Podatność w bibliotece Net::BitTorrent dla Perla (do wersji 2.0.1) pozwala na zdalne wyczerpanie pamięci poprzez głęboko zagnieżdżone dane w formacie bencode. Funkcja dekodująca nie ma ograniczenia głębokości rekurencji, co prowadzi do kwadratowego wzrostu zużycia pamięci (O(N^2)).

CVE-2026-57080
Wysokie

Podatność w bibliotece Net::BitTorrent dla Perla (do wersji 2.0.1) pozwala zdalnie wyczerpać pamięć procesu poprzez nieograniczony prefiks długości wiadomości w protokole peer-wire. Atakujący peer może wysłać prefiks długości do 4 GiB, a następnie strumień bajtów, co powoduje niekontrolowany wzrost bufora wejściowego.

PoprzedniaStrona 30 z 3336Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS