Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-30041
Wysokie

W parserze PSD programu FastStone Image Viewer w wersji 8.3 występuje przepełnienie liczby całkowitej. Umożliwia ono atakującemu wykonanie dowolnego kodu lub spowodowanie odmowy usługi (DoS) poprzez dostarczenie spreparowanego pliku PSD.

CVE-2025-68064
Wysokie

Podatność Local File Inclusion (LFI) wtyczki Goya Core w wersjach starszych niż 1.0.9.4 umożliwia osobie z rolą kontrybutora odczyt dowolnych plików na serwerze.

CVE-2025-68063
Wysokie

Wtyczka Splash - Sport Club WordPress Theme dla koszykówki, piłki nożnej i hokeja w wersji 4.4.3 i starszych zawiera podatność na lokalne dołączanie plików (LFI) przez współtwórców. Umożliwia to atakującemu z uprawnieniami współtwórcy odczyt wrażliwych plików na serwerze.

CVE-2025-68052
Wysokie

Podatność umożliwia atak CSRF bez uwierzytelnienia we wtyczce Eagle Booking w wersjach do 1.3.4.3. Atakujący może nakłonić administratora do wykonania niezamierzonych działań, np. zmiany ustawień lub dodania nowych użytkowników.

CVE-2026-57920
Wysokie

Podatność w Peplink InControl 2 do wersji 2.14.2 przed 2026-06-03 umożliwia ominięcie reguł kontroli dostępu dla niektórych endpointów /rest/o/{orgId} poprzez użycie średnika.

CVE-2026-57915
Wysokie

Podatność w Apache Kerby umożliwia ominięcie sprawdzenia pre-autoryzacji Kerberos poprzez wysłanie pakietu PA-DATA z nierozpoznanym lub nieobsługiwanym typem. Atakujący może uzyskać dostęp bez poprawnego uwierzytelnienia.

CVE-2026-40711
Wysokie

Podatność typu OS Command Injection w modułach Dell Container Storage Modules (csi-powerstore, csi-unity, csi-powerflex, csi-powermax w wersji 2.16.0) pozwala wysoko uprzywilejowanemu atakującemu z dostępem zdalnym na wykonanie dowolnych poleceń systemu operacyjnego.

CVE-2026-57918
Wysokie

Podatność w bibliotece libnfs do wersji 6.0.2 przed commit 935b8db powoduje niedomiar liczby całkowitej w polu xid w funkcji READ_IOVEC w pliku lib/socket.c. Problem występuje podczas połączenia ze spreparowanym serwerem NFS, gdy oczekiwany rozmiar PDU przekracza bezwzględny rozmiar PDU z xid/znacznika rekordu.

CVE-2026-57913
Wysokie

Podatność w systemie Johnson & Johnson Audit Tracking Management System (ATMS) przed wersją z 21 kwietnia 2026 roku umożliwia nieautoryzowany dostęp do protokołów i transkryptów spotkań.

CVE-2026-57912
Wysokie

Podatność w systemie rekrutacyjnym Johnson & Johnson Campus Recruiting przed 31 października 2025 roku umożliwia nieautoryzowany wgląd w dane osobowe kandydatów oraz notatki sporządzone przez rekruterów.

CVE-2025-7958
Wysokie

Podatność typu Code Injection w Trellix Network Security CM i NX umożliwia lokalnie uwierzytelnionemu administratorowi wykonanie dowolnego kodu poprzez interfejs webowy i szczegóły artefaktu Alert.

CVE-2026-11702
Wysokie

Podatność w bibliotece Bytes::Random::Secure::Tiny dla Perla (wersje do 1.011) powoduje współdzielenie wewnętrznego stanu generatora liczb losowych (PRNG) pomiędzy procesami potomnymi po wykonaniu fork(). Jeśli obiekt zostanie zainicjalizowany przed forkiem, wszystkie procesy będą produkować identyczne ciągi losowe.

CVE-2026-11625
Wysokie

Podatność w bibliotece Bytes::Random::Secure dla Perla do wersji 0.29 powoduje współdzielenie wewnętrznego stanu generatora liczb losowych (PRNG) pomiędzy procesami potomnymi po wykonaniu fork(). Gdy obiekt jest inicjalizowany przed forkiem lub używany jest interfejs funkcyjny, procesy potomne otrzymują identyczne strumienie losowe.

CVE-2026-57877
Wysokie

W urządzeniach GeoVision GV-LPC2011 i GV-LPC2211 w wersji V1.12 i wcześniejszych wykryto podatność na atak typu format string w komponencie vlsvr. Luka występuje w ścieżce logowania, gdzie nieprawidłowo obsługiwane są dane wejściowe podczas formatowania komunikatów dziennika. Zdalny, nieuwierzytelniony atakujący może wysłać spreparowane dane logowania, co może prowadzić do ujawnienia informacji, uszkodzenia pamięci lub odmowy usługi.

CVE-2026-57876
Wysokie

W urządzeniach GeoVision GV-LPC2011 i GV-LPC2211 w wersji V1.12 i wcześniejszych, w pliku onvif.cgi występuje podatność na zapis poza dozwolonym zakresem pamięci. Brak odpowiedniego sprawdzania granic podczas przetwarzania danych w żądaniu HTTP umożliwia nieuwierzytelnionemu atakującemu zdalne spowodowanie uszkodzenia pamięci i odmowy usługi (DoS) poprzez wysłanie spreparowanego żądania z nadmierną ilością danych.

CVE-2026-57875
WysokieEPSS 66%

W oprogramowaniu urządzeń GeoVision GV-LPC2011 i GV-LPC2211 w wersji V1.12 i wcześniejszych wykryto podatność na zdalną odmowę usługi (DoS). Luka wynika z braku walidacji wymaganych metadanych żądania HTTP przed ich użyciem, co prowadzi do dereferencji wskaźnika NULL i awarii procesu.

CVE-2026-57874
Wysokie

W urządzeniach GeoVision GV-LPC2011 i GV-LPC2211 w wersji V1.12 i wcześniejszych wykryto podatność na przepełnienie bufora w skrypcie IEEE8021x_upload.cgi. Problem wynika z braku odpowiedniego sprawdzania granic podczas przetwarzania wartości nazw plików w danych przesyłanych metodą multipart. Zdalny, nieuwierzytelniony atakujący może wykorzystać tę podatność, wysyłając spreparowane żądanie uploadu z nadmiernie długimi danymi, co prowadzi do uszkodzenia pamięci i odmowy usługi (DoS).

CVE-2026-57873
Wysokie

W urządzeniach GeoVision GV-LPC2011 i GV-LPC2211 w wersji V1.12 i wcześniejszych, w skrypcie IEEE8021x_upload.cgi występuje podatność na wyłuskanie wskaźnika NULL (NULL pointer dereference) bez uwierzytelnienia. Problem wynika z nieprawidłowej walidacji nagłówków przesyłania wieloczęściowego (multipart) podczas przetwarzania pól związanych z certyfikatami. Zdalny atakujący może wysłać spreparowane żądanie wieloczęściowe, powodując awarię procesu CGI i w efekcie odmowę usługi (DoS).

CVE-2026-57872
WysokieEPSS 57%

W urządzeniach GeoVision GV-LPC2011 i GV-LPC2211 w wersji V1.12 i wcześniejszych wykryto podatność na nieuwierzytelniony atak typu directory traversal w komponencie get_fcont.cgi. Luka wynika z niewystarczającej walidacji ścieżki pliku podanej przez użytkownika przed uzyskaniem dostępu do żądanego pliku przez CGI. Zdalny atakujący może wysłać spreparowane żądanie w celu odczytu dowolnych plików dostępnych dla procesu, co prowadzi do ujawnienia informacji.

CVE-2026-49486
Wysokie

Podatność w Apache Airflow FTP provider powoduje, że połączenie FTPS nie szyfruje kanału danych. Mimo że kanał kontrolny jest chroniony TLS, dane przesyłane są w postaci jawnej, co umożliwia atakującemu w sieci przechwycenie treści plików i poświadczeń.

PoprzedniaStrona 31 z 3319Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS