Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-11589
Wysokie

Wtyczka WP Support Plus Responsive Ticket System dla WordPressa w wersji do 9.1.2 nieprawidłowo waliduje przesyłane pliki, umożliwiając niezalogowanym użytkownikom wgrywanie plików z złośliwym JavaScript (np. HTML lub SVG) do publicznie dostępnej lokalizacji, co prowadzi do trwałego ataku Cross-Site Scripting na użytkowników i administratorów witryny.

CVE-2026-58302
Wysokie

Podatność w komponencie rtapi_app pakietu linuxcnc-uspace w LinuxCNC przed wersją 2.9.9 umożliwia eskalację uprawnień. Program jest zainstalowany z bitem SUID root i ładuje biblioteki współdzielone za pomocą dlopen() na podstawie nazwy modułu podanej przez użytkownika. Niewystarczająca walidacja nazwy modułu pozwala na przejście ścieżki, co umożliwia nieuprzywilejowanemu użytkownikowi lokalnemu załadowanie dowolnej biblioteki współdzielonej, a ponieważ proces zachowuje podwyższone uprawnienia podczas ładowania modułu, prowadzi to do lokalnej eskalacji uprawnień do roota.

CVE-2026-12243
Wysokie

NLTK w wersji 3.9.4 zawiera podatność na atak typu path traversal z powodu niekompletnej poprawki dla zgłoszenia GitHub #3504. Wyrażenie regularne `_UNSAFE_NO_PROTOCOL_RE` w pliku `nltk/data.py` sprawdza tylko literał `../`, ale nie uwzględnia zakodowanych sekwencji, takich jak `..%2f`. Funkcja `url2pathname()` dekoduje te sekwencje po walidacji, co pozwala ominąć zabezpieczenie.

CVE-2026-8023
Wysokie

Podatność w serwerze HTTP systemu Zephyr pozwala na odczyt plików poza skonfigurowanym katalogiem głównym. Atakujący może wysłać żądanie GET z sekwencją ../ w ścieżce URL, co powoduje ominięcie ograniczeń dostępu do plików statycznych.

CVE-2026-7656
Wysokie

W implementacji IPv6 Neighbor Discovery w Zephyr RTOS wykryto błąd logiczny w operatorach warunków, który powoduje pomijanie kluczowych walidacji (Hop Limit == 255, źródło link-local, sanity check multicast). Atakujący z tej samej sieci lub potencjalnie zdalny może wysyłać sfałszowane pakiety RA, NS i NA, które zostaną zaakceptowane.

CVE-2026-51221
Wysokie

Podatność przepełnienia bufora w funkcji Get_Attribute_List biblioteki OpENer od EIPStackGroup (commit 76b95c) umożliwia atakującemu spowodowanie odmowy usługi (DoS) poprzez wysłanie spreparowanego pakietu Common Packet Format (CPF).

CVE-2026-34592
Wysokie

W Coolify przed wersją 4.0.0-beta.471 brakuje ograniczenia dostępu do serwerów i projektów do bieżącego zespołu. Uwierzytelniony użytkownik może uzyskać dostęp do zasobów innych zespołów, podając bezpośrednio ich identyfikatory.

CVE-2026-55957
Wysokie

W Apache Tomcat wykryto brak krytycznego kroku uwierzytelniania w JNDIRealm podczas korzystania z GSSAPI. Atakujący może uwierzytelnić się bez podania poprawnego hasła.

CVE-2026-53404
Wysokie

W Apache Tomcat w mechanizmie rewrite valve wykryto podatność polegającą na nieprawidłowej implementacji przepływu sterowania. Powoduje ona, że gdy pierwszy warunek w łańcuchu OR jest spełniony, pomijane są kolejne warunki niebędące częścią OR.

CVE-2026-41896
Wysokie

W Coolify przed wersją 4.0.0-beta.474 klucz HMAC dla webhooków GitHub może być pusty (null), co powoduje użycie pustego ciągu znaków jako klucza. Atakujący może obliczyć poprawny podpis i wywołać nieautoryzowane wdrożenia.

CVE-2026-34597
Wysokie

W Coolify przed wersją 4.0.0-beta.470 odkryto krytyczną podatność na zdalne wykonanie kodu (RCE) przez uwierzytelnionego atakującego. Problem polega na bezpośrednim łączeniu parametru install_command z poleceniem powłoki podczas budowania z użyciem Nixpacks, co pozwala na wykonanie dowolnych poleceń na hoście docelowym.

CVE-2026-34594
WysokieEPSS 61%

W Coolify przed wersją 4.0.0-beta.471 wykryto podatność na wstrzykiwanie poleceń w funkcji zarządzania siecią docelową. Uwierzytelniony użytkownik z uprawnieniami do zarządzania siecią może przekazać złośliwy parametr "network", który jest bezpośrednio wykonywany w powłoce, co pozwala na zdalne wykonanie kodu jako root na zarządzanym serwerze.

CVE-2026-57919
Wysokie

Podatność w PBackupVSS.exe w Matrix42 Empirum przed wersją 25.5 oraz 26.x przed 26.2 tworzy nazwany potok z nadmiernie liberalnymi uprawnieniami. Uwierzytelniony atakujący z niskimi uprawnieniami może połączyć się z tym potokiem i wysłać spreparowane komunikaty IPC, co prowadzi do wykonania dowolnych poleceń z uprawnieniami SYSTEM.

CVE-2026-56018
Wysokie

Podatność w bibliotece JavaScript::Minifier::XS dla Perla przed wersją 0.16 powoduje wyciek pamięci przy każdym wywołaniu funkcji minify(). Funkcja czyszcząca zwalnia tylko struktury NodeSet, ale nie bufory zawartości tokenów, co prowadzi do nieograniczonego wzrostu zużycia pamięci.

CVE-2026-56017
Wysokie

Podatność w bibliotece JavaScript::Minifier::XS dla Perla przed wersją 0.16 powoduje crash przez dereferencję wskaźnika NULL, gdy pierwszym znaczącym tokenem wejścia jest ukośnik. Problem występuje w funkcji JsTokenizeString podczas rozróżniania wyrażenia regularnego od operatora dzielenia.

CVE-2026-53426
Wysokie

Podatność w bibliotece MDEx dla Elixira/Erlanga pozwala na wyczerpanie tablicy atomów poprzez przetworzenie specjalnie spreparowanego dokumentu JSON. Funkcja json_to_node/1 tworzy nowe atomy dla każdej unikalnej wartości node_type, które nie są usuwane przez garbage collector, co prowadzi do awarii całej maszyny wirtualnej BEAM.

CVE-2026-43735
Wysokie

Podatność w Safari umożliwia złośliwej stronie internetowej kradzież danych między różnymi źródłami (cross-origin). Problem został rozwiązany poprzez ulepszone sprawdzanie w Safari 26.5.2, iOS 26.5.2, iPadOS 26.5.2 oraz macOS Tahoe 26.5.2.

CVE-2026-43731
Wysokie

W przeglądarce Safari oraz systemach Apple (iOS, iPadOS, macOS) wykryto podatność typu use-after-free, która może prowadzić do uszkodzenia pamięci podczas przetwarzania złośliwie spreparowanych treści internetowych. Problem został rozwiązany poprzez ulepszone zarządzanie pamięcią.

CVE-2026-43725
Wysokie

Podatność w Safari i systemach Apple umożliwia złośliwej stronie internetowej przetwarzanie zastrzeżonych treści internetowych poza sandboxem. Problem został rozwiązany poprzez poprawioną walidację danych wejściowych.

CVE-2026-43724
Wysokie

Podatność w systemach Apple umożliwia aplikacji spowodowanie nieoczekiwanego zakończenia działania systemu lub zapis do pamięci jądra. Problem został rozwiązany poprzez poprawę sanityzacji danych wejściowych.

PoprzedniaStrona 35 z 3339Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS