Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-35273
KrytyczneAktywnie exploitowaneEPSS 96%

Podatność w produkcie PeopleSoft Enterprise PeopleTools firmy Oracle, dotycząca zarządzania środowiskiem aktualizacji. Wersje 8.61 i 8.62 są podatne na łatwe do wykorzystania ataki, które mogą prowadzić do przejęcia systemu.

CVE-2026-46703
Krytyczne

Boxlite to usługa sandbox, która pozwala użytkownikom na tworzenie lekkich maszyn wirtualnych i uruchamianie kontenerów OCI. W wersjach przed 0.9.0, Boxlite nie uwzględnia możliwości, że wpisy tar w obrazach OCI mogą być dowiązaniami symbolicznymi wskazującymi na ścieżki bezwzględne, co umożliwia atakującemu wykonanie złośliwego kodu na hoście.

CVE-2026-46695
Krytyczne

Boxlite to usługa sandbox, która umożliwia użytkownikom tworzenie lekkich maszyn wirtualnych i uruchamianie kontenerów OCI. W wersjach przed 0.9.0, Boxlite nie ogranicza możliwości jądra dostępnych wewnątrz kontenera, co pozwala złośliwemu kodowi na uzyskanie dostępu do zapisu w katalogach, które powinny być tylko do odczytu.

CVE-2026-50638
Krytyczne

Wersje Metrics::Any::Adapter::DogStatsd przed 0.04 dla Perla nie chronią przed wstrzyknięciami metryk. Protokół statsd pozwala na wysyłanie wielu metryk w jednym pakiecie, co stwarza ryzyko wstrzyknięcia złośliwych danych.

CVE-2026-50566
Krytyczne

Fission to framework serverless, natywny dla Kubernetes, który upraszcza wdrażanie funkcji i aplikacji. W wersjach przed 1.24.0, użytkownik z odpowiednimi uprawnieniami RBAC mógł uruchomić kontenery z podwyższonymi uprawnieniami, co prowadziło do możliwości ucieczki z piaskownicy kontenera oraz dostępu do systemu plików i sieci hosta.

CVE-2026-50564
Krytyczne

Fission to framework serverless, natywny dla Kubernetes, który przed wersją 1.24.0 miał problem z bezpieczeństwem związanym z CRD Environment. W specyfikacji podów runtime i buildera brakowało filtracji dla krytycznych pól, co mogło prowadzić do nieautoryzowanego dostępu do zasobów systemowych.

CVE-2026-50563
Krytyczne

Fission to framework serverless, natywny dla Kubernetes, który upraszcza wdrażanie funkcji i aplikacji. W wersjach przed 1.24.0, ścieżka Container Executor pozwalała na bezpośrednie dostarczanie specyfikacji podu przez użytkownika, co mogło prowadzić do nieautoryzowanego dostępu do zasobów.

CVE-2026-50545
Krytyczne

Fission to framework serverless, natywny dla Kubernetes, który upraszcza wdrażanie funkcji i aplikacji. W wersjach przed 1.24.0 brakowało walidacji w Environment.spec.runtime.podSpec / spec.builder.podSpec, co prowadziło do propagacji niebezpiecznych pól do generowanych podów.

CVE-2026-46614
Krytyczne

Fission, framework serverless dla Kubernetes, przed wersją 1.23.0 rejestrował wewnętrzne trasy dla obiektów funkcji, co pozwalało na ich wywoływanie bez odpowiednich uprawnień. Umożliwiało to atakującym wywoływanie funkcji poprzez zgadywanie ich nazw i przestrzeni nazw.

CVE-2026-20253
KrytyczneAktywnie exploitowaneEPSS 95%

W Splunk Enterprise w wersjach 10.2 poniżej 10.2.4 oraz 10 poniżej 10.0.7, nieautoryzowany użytkownik może tworzyć lub skracać dowolne pliki poprzez punkt końcowy usługi PostgreSQL sidecar. Podatność wynika z braku kontroli uwierzytelniania w tym punkcie końcowym.

CVE-2026-53476
Krytyczne

Wykryto lukę w narzędziu assisted-migration-agent, która pozwala nieautoryzowanemu atakującemu, znajdującemu się w tej samej sieci lokalnej, na wykorzystanie podatności typu path traversal. Atakujący może stworzyć specjalnie zaprojektowany skompresowany plik tar, co pozwala na ominięcie zabezpieczeń i zapisanie dowolnych plików w systemie.

CVE-2026-53475
Krytyczne

W aplikacji assisted-migration-agent znaleziono lukę, która polega na hardcodowaniu niebezpiecznych połączeń TLS podczas komunikacji z vCenter. Umożliwia to atakującemu typu Man-in-the-Middle przechwycenie i zbieranie poświadczeń administratora vCenter.

CVE-2026-53474
Krytyczne

W systemie migration-planner znaleziono lukę, która pozwala zdalnemu, uwierzytelnionemu atakującemu na przesłanie specjalnie przygotowanego pliku RVTools .xlsx. Z powodu niewłaściwej sanitizacji danych wejściowych, złośliwe zapytania SQL osadzone w komórkach arkusza są wykonywane podczas przetwarzania nazw klastrów.

CVE-2026-53471
Krytyczne

W migratorze występuje luka, w której middleware agent-API nie weryfikuje poprawnie roszczenia source_id w tokenach JWT. To pozwala uwierzytelnionemu atakującemu na manipulację danymi między różnymi najemcami, co prowadzi do całkowitego załamania izolacji najemców.

CVE-2026-53470
Krytyczne

W systemie migration-planner znaleziono lukę, która pozwala uwierzytelnionemu atakującemu na obejście kontroli dostępu w punkcie końcowym `/api/v1/sources/{id}/image-url`. Dzięki temu atakujący może uzyskać presigned S3 URL-e do obrazów OVA należących do innych użytkowników.

CVE-2026-53469
Krytyczne

W systemie migration-planner znaleziono lukę, która pozwala uwierzytelnionemu użytkownikowi na wysłanie żądania DELETE do trasy /api/v1/sources, co prowadzi do braku odpowiedniej autoryzacji i filtrowania. To umożliwia zniszczenie wszystkich danych klientów, w tym źródeł, agentów i ocen.

CVE-2026-45558
Krytyczne

Roxy-WI to interfejs webowy do zarządzania serwerami Haproxy, Nginx, Apache i Keepalived. W wersjach 8.2.6.4 i wcześniejszych, punkty końcowe section-save HAProxy akceptują niezweryfikowane pole opcji JSON, co pozwala na wstrzykiwanie dowolnych dyrektyw HAProxy do konfiguracji.

CVE-2026-45556
Krytyczne

Roxy-WI to interfejs webowy do zarządzania serwerami Haproxy, Nginx, Apache i Keepalived. W wersjach 8.2.6.4 i wcześniejszych, pole config_file_name w żądaniu POST /waf/<service>/<server_ip>/rule/<rule_id>/save nie jest odpowiednio walidowane, co pozwala atakującemu na zapisanie pliku w dowolnej lokalizacji na systemie plików load balancera.

CVE-2026-45552
Krytyczne

Roxy-WI to interfejs webowy do zarządzania serwerami Haproxy, Nginx, Apache i Keepalived. W wersjach 8.2.6.4 i wcześniejszych, brak odpowiednich dekoratorów w niektórych punktach końcowych pozwala każdemu zalogowanemu użytkownikowi, w tym domyślnemu gościowi, na instalację i rekonfigurację eksportera, WAF oraz baz danych GeoIP na wszystkich serwerach w bazie danych Roxy-WI.

CVE-2026-45550
Krytyczne

Roxy-WI to interfejs webowy do zarządzania serwerami Haproxy, Nginx, Apache i Keepalived. W wersjach 8.2.6.4 i wcześniejszych, funkcjonalność PUT /smon/check nie weryfikuje, czy identyfikator check_id należy do grupy użytkownika, co pozwala na nieautoryzowane modyfikacje monitorowania innych użytkowników.

PoprzedniaStrona 44 z 556Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS