Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-7569
Wysokie

Podatność w Quest NetVault Backup umożliwia atakującemu ominięcie uwierzytelniania poprzez skryptowanie między witrynami (XSS) w komponencie viewclient. Wymaga interakcji użytkownika, który musi odwiedzić złośliwą stronę lub otworzyć złośliwy plik.

CVE-2026-39951
Wysokie

Cacti to otwartoźródłowe narzędzie do zarządzania wydajnością i awariami. W wersjach 1.2.30 i wcześniejszych odkryto podatność na wstrzykiwanie SQL (SQL Injection) w funkcji Reports, poprzez parametr graph_name_regexp. Luka została załatana w wersji 1.2.31.

CVE-2025-60474
Wysokie

Podatność przepełnienia bufora w funkcji gf_media_import w bibliotece GPAC/MP4Box przed wersją 26.02.0 umożliwia atakującemu wywołanie odmowy usługi (DoS) poprzez dostarczenie spreparowanego pliku wejściowego.

CVE-2025-60467
Wysokie

W bibliotece GPAC/MP4Box przed wersją 26.02.0 wykryto podatność use-after-free w funkcji gf_filter_pid_inst_swap_delete_task w pliku filter_pid.c. Atakujący może wykorzystać specjalnie spreparowany plik multimedialny, aby spowodować awarię aplikacji i odmowę usługi (DoS).

CVE-2026-9779
Wysokie

W produkcie ATEN Unizon w metodzie updateWar stwierdzono nieprawidłową implementację weryfikacji podpisu kryptograficznego. Uwierzytelniony zdalny atakujący może wykorzystać tę podatność do wykonania dowolnego kodu w kontekście SYSTEM.

CVE-2026-9778
WysokieEPSS 71%

Podatność typu directory traversal w metodzie ImportDeviceList oprogramowania ATEN Unizon umożliwia zdalne wykonanie kodu. Problem wynika z braku walidacji ścieżki podanej przez użytkownika przed użyciem jej w operacjach na plikach. Do wykorzystania wymagane jest uwierzytelnienie.

CVE-2026-9777
WysokieEPSS 71%

Podatność typu directory traversal w metodzie restoreDB oprogramowania ATEN Unizon umożliwia zdalne wykonanie kodu. Luka wynika z braku walidacji ścieżki dostarczonej przez użytkownika przed użyciem jej w operacjach na plikach. Atak wymaga uwierzytelnienia, ale pozwala na wykonanie kodu w kontekście systemu SYSTEM.

CVE-2026-9776
WysokieEPSS 72%

Podatność typu Directory Traversal w metodzie writeFileToHttpServletResponse w ATEN Unizon umożliwia zdalnym atakującym ujawnienie poufnych informacji bez uwierzytelnienia. Problem wynika z braku walidacji ścieżki dostarczonej przez użytkownika przed użyciem jej w operacjach na plikach.

CVE-2026-9773
WysokieEPSS 62%

Podatność umożliwia zdalne wykonanie kodu w systemie Unraid poprzez wstrzyknięcie poleceń do skryptu ToggleState.php. Atak wymaga uwierzytelnienia, a loka wynika z braku walidacji danych użytkownika przed użyciem ich w wywołaniu systemowym.

CVE-2026-9772
WysokieEPSS 62%

Podatność w serwerze WWW Unraid umożliwia zdalne wykonanie kodu poprzez wstrzyknięcie polecenia w pliku FileUpload.php. Luka wynika z braku walidacji danych użytkownika przed użyciem ich w wywołaniu systemowym. Wymagane jest uwierzytelnienie, a atakujący może wykonać kod w kontekście użytkownika www-data.

CVE-2026-55762
Wysokie

W Rocket.Chat przed wersjami 8.5.1, 8.4.4, 8.3.6, 8.2.6, 8.1.6, 8.0.7 i 7.10.13, punkt końcowy POST /api/v1/fingerprint wymagał uwierzytelnienia, ale nie przeprowadzał kontroli autoryzacji. Każdy uwierzytelniony użytkownik mógł usunąć workspace z Rocket.Chat Cloud, co prowadziło do utraty wszystkich danych i wymagało ręcznej rejestracji.

CVE-2026-55759
Wysokie

Podatność w mechanizmie logowania przez Apple ID w Rocket.Chat polega na braku walidacji roszczeń (claims) w tokenach JWT. Atakujący, który zdobędzie token tożsamości Apple ofiary (np. z logów serwera, przechwyconego procesu logowania lub innej aplikacji tego samego zespołu deweloperskiego Apple), może go wielokrotnie użyć do uwierzytelnienia się jako ta ofiara, bez ograniczeń czasowych.

CVE-2026-54759
Wysokie

SiYuan to otwartoźródłowy system zarządzania wiedzą osobistą. W wersjach przed 3.7.0, sanitizator HTML Lute'a nie usuwał elementów <iframe>, co pozwalało atakującemu na umieszczenie złośliwego <iframe> w README pakietu Bazaar, który mógł wykonywać dowolne polecenia na maszynie ofiary.

CVE-2026-54070
Wysokie

Podatność w systemie SiYuan przed wersją 3.7.0 umożliwia wykonanie kodu JavaScript w kontekście administratora poprzez renderowanie README pakietu Bazaar. Luka wynika z niekompletnej listy dozwolonych atrybutów zdarzeń w silniku sanitizującym lute, który przepuszcza nowoczesne procedury obsługi zdarzeń (np. onpointerover, onpointerdown).

CVE-2026-54066
WysokieEPSS 77%

SiYuan to otwartoźródłowy system zarządzania wiedzą osobistą. W wersjach przed 3.7.0, podatność pozwalała na odczyt dowolnych plików w WorkspaceDir przez nieautoryzowanego atakującego, wykorzystując podwójne kodowanie URL w trasie /assets/*path.

CVE-2026-52794
Wysokie

Sentry to narzędzie do śledzenia błędów i monitorowania wydajności. W wersjach od 24.4.0 do 26.5.2 występuje podatność na atak typu ReDoS (Regular Expression Denial of Service) w potoku przetwarzania zdarzeń, gdzie wyrażenie regularne zastosowane do pól kontrolowanych przez atakującego może spowodować nadmierne zużycie czasu procesora.

CVE-2026-50189
Wysokie

Appsmith przed wersją 2.1 udostępnia interfejs XML-RPC supervisorda na porcie 9001, który jest osiągalny z zewnątrz kontenera przez odwrotne proxy Caddy na ścieżce /supervisor/*. W połączeniu z hasłem APPSMITH_SUPERVISOR_PASSWORD ujawnianym przez GET /api/v1/admin/env, każdy uwierzytelniony administrator może wysyłać dowolne wywołania XML-RPC do supervisorda i wykonywać polecenia systemowe w kontenerze Docker za pomocą twiddler.addProgramToGroup.

CVE-2026-2050
Wysokie

Podatność w GIMP umożliwia zdalne wykonanie kodu przez przepełnienie bufora sterty podczas parsowania plików HDR. Atak wymaga interakcji użytkownika, który musi otworzyć złośliwy plik lub odwiedzić stronę.

CVE-2026-10043
Wysokie

Podatność w MosaicML Composer umożliwia zdalne wykonanie dowolnego kodu poprzez deserializację niezaufanych danych. Wymagana jest interakcja użytkownika, aby wykorzystać tę podatność, co oznacza, że ofiara musi odwiedzić złośliwą stronę lub otworzyć złośliwy plik.

CVE-2026-7539
Wysokie

W instalatorze HP Accessory WMI Provider dla niektórych stacji dokujących HP wykryto potencjalną lukę bezpieczeństwa, która może umożliwić eskalację uprawnień i/lub zdalne wykonanie kodu. Firma HP udostępnia aktualizacje oprogramowania w celu złagodzenia tego zagrożenia.

PoprzedniaStrona 42 z 3318Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS