Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-56780
Wysokie

Podatność w Modoboa przed wersją 2.9.0 w punkcie końcowym PUT /api/v1/accounts/{pk}/password/ umożliwia niebezpieczne bezpośrednie odwołanie do obiektu (IDOR). Administratorzy domen mogą zmienić hasło dowolnego użytkownika, w tym superadministratora, co prowadzi do pełnego przejęcia konta.

CVE-2026-56285
Wysokie

Podatność w Nitter pozwala nieuwierzytelnionym atakującym na wykorzystanie punktu końcowego proxy mediów /video do wysyłania żądań HTTP do dowolnych hostów osiągalnych przez serwer, w tym do usług metadanych chmury i zasobów sieci wewnętrznej. Problem wynika z braku walidacji docelowych adresów URL względem domen Twitter/X oraz użycia zakodowanego na stałe domyślnego klucza HMAC.

CVE-2026-36848
Wysokie

Podatność Directory Traversal w systemie Gigamon GVOS w wersji 5.16.1 i niższych, występująca w podsystemie H-VUE, umożliwia nieautoryzowany dostęp do plików poza katalogiem głównym aplikacji.

CVE-2026-13592
Wysokie

W komponencie EtherNet IP Message Handler biblioteki CIPster (wersje do e8e9dba09bf56962807d3504b783ccdb6287f3e4) wykryto podatność polegającą na zapisie poza dozwolonym obszarem pamięci w funkcji BufWriter::append. Atak zdalny jest możliwy, a exploit został opublikowany.

CVE-2026-12912
Wysokie

W bibliotece libtiff odkryto podatność, która pozwala zdalnemu atakującemu na wykonanie kodu lub wywołanie odmowy usługi (DoS) poprzez dostarczenie specjalnie spreparowanego obrazu TIFF skompresowanego kodekiem PixarLog. Problem występuje podczas dekodowania obrazów PixarLog z formatem wyjściowym PIXARLOGDATAFMT_8BITABGR i określoną wartością kroku (stride), co prowadzi do przepełnienia bufora sterty.

CVE-2026-41052
Wysokie

W Rancher w wersjach 2.14 przed 2.14.2, 2.13 przed 2.13.6 oraz 2.12 przed 2.12.10 użytkownicy z rolą Project Owner mogą wykorzystać nieprawidłowe zarządzanie uprawnieniami do eskalacji swoich przywilejów.

CVE-2026-13749
Wysokie

Podatność w Snowflake CLI przed wersją 3.19 umożliwia zdalne wykonanie kodu poprzez nieprawidłową neutralizację w szablonie wywołania zwrotnego procesora adnotacji Snowpark. Atakujący może dostarczyć spreparowaną zawartość projektu, która jest interpolowana do wygenerowanego kodu Python, co prowadzi do wykonania kodu w kontekście lokalnym użytkownika uruchamiającego CLI.

CVE-2026-13744
Wysokie

Podatność w Snowflake CLI przed wersją 3.19 umożliwiała wykonanie niezamierzonego SQL przez dostarczenie spreparowanego repozytorium, konfiguracji projektu, danych manifestu lub specyfikacji. Atakujący może wykorzystać tę lukę, aby wykonać dowolne zapytania SQL w kontekście sesji ofiary.

CVE-2026-13583
Wysokie

W urządzeniu Edimax EW-7478APC w wersji 1.04 odkryto podatność na przepełnienie bufora w funkcji formUSBFolder pliku /goform/formUSBFolder. Manipulacja argumentami ShareName/SelectName w żądaniu POST może prowadzić do przepełnienia bufora, co umożliwia zdalny atak. Exploit został ujawniony publicznie i może być wykorzystany.

CVE-2026-13582
Wysokie

W urządzeniu Edimax EW-7478APC w wersji 1.04 wykryto podatność na przepełnienie bufora w funkcji formUSBAccount pliku /goform/formUSBAccount. Atakujący może zdalnie manipulować argumentami UserName/Password, co prowadzi do przepełnienia bufora. Exploit został opublikowany i może być wykorzystany.

CVE-2026-13580
Wysokie

W urządzeniu Edimax EW-7478APC w wersji 1.04 wykryto podatność na przepełnienie bufora w funkcji formQoS pliku /goform/formQoS. Atakujący może zdalnie manipulować argumentem selSSID, co prowadzi do przepełnienia bufora. Exploit został publicznie ujawniony i może być wykorzystany.

CVE-2026-57338
Wysokie

Wtyczka ARForms w wersji 7.1.2 i starszych zawiera podatność na nieuwierzytelniony atak typu Cross Site Scripting (XSS). Atakujący może wstrzyknąć złośliwy skrypt bez konieczności logowania.

CVE-2026-57337
Wysokie

Wtyczka Landing Page Builder w wersji 1.5.3.5 i starszych zawiera podatność na nieuwierzytelniony atak Cross Site Scripting (XSS). Umożliwia ona atakującemu wstrzyknięcie złośliwego skryptu bez konieczności logowania.

CVE-2026-57336
Wysokie

Wtyczka Jobify w wersji 4.3.2 i starszych zawiera podatność na nieuwierzytelniony atak typu Cross Site Scripting (XSS). Atakujący może wstrzyknąć złośliwy skrypt bez konieczności logowania.

CVE-2026-57333
Wysokie

Wtyczka Link Whisper Free w wersji 0.9.4 i starszych zawiera podatność na nieuwierzytelniony atak Cross Site Scripting (XSS). Atakujący może wstrzyknąć złośliwy skrypt bez konieczności logowania.

CVE-2026-57332
Wysokie

Wtyczka Wallet System for WooCommerce w wersji 2.7.6 i starszych zawiera podatność polegającą na nieprawidłowej kontroli dostępu dla subskrybentów. Umożliwia to użytkownikom z rolą subskrybenta wykonywanie operacji, do których nie powinni mieć uprawnień.

CVE-2026-57320
Wysokie

W systemie BEAR w wersji 1.1.8 i starszych występuje podatność na nieuwierzytelniony atak typu Cross Site Scripting (XSS). Umożliwia ona zdalnemu atakującemu wstrzyknięcie złośliwego kodu JavaScript do strony bez konieczności logowania.

CVE-2026-56124
Wysokie

phpUploader przed wersją 2.0.2 zawiera nieuwierzytelnioną podatność na ujawnienie informacji, która pozwala zdalnym atakującym na dostęp do pełnej zawartości tabeli bazy danych przesłanych plików poprzez odwiedzenie dowolnej strony aplikacji. Model indeksu wykonuje nieograniczone zapytanie SELECT i osadza kompletny zestaw wyników zakodowany w JSON w bloku skryptu inline, ujawniając adresy IP przesyłającego, skróty kluczy Argon2ID, wewnętrzne nazwy plików oraz odciski palców SHA-256.

CVE-2026-55844
Wysokie

Aplikacja towarzysząca Home Assistant na iOS ignoruje listę dozwolonych SSID dla sieci wewnętrznych. Gdy nie znajdzie innego adresu URL, używa wewnętrznego, co może ujawnić token użytkownika w niezabezpieczonej sieci.

CVE-2026-55607
Wysokie

Podatność w narzędziu Claude Code (wersje od 2.1.38 do 2.1.163) umożliwia atak przez manipulację worktree, w tym tworzenie worktree o nazwie ".git" i nawigację poza sandbox. Atakujący może nadpisać pliki w katalogu domowym użytkownika (np. .zshenv), co prowadzi do wykonania kodu poza ograniczeniami sandboxa.

PoprzedniaStrona 33 z 3334Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS