Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-5067
Krytyczne

Zdalny, nieautoryzowany atakujący może wywołać uszkodzenie pamięci w serwerze HTTP Zephyr poprzez wysłanie spreparowanego nagłówka Sec-WebSocket-Key. Błąd w analizie nagłówków HTTP/1 prowadzi do odczytu i zapisu poza granicami pamięci stosu, co może skutkować awarią (denial of service) oraz potencjalnym wykonaniem kodu.

CVE-2026-44748
Krytyczne

SAP NetWeaver Application Server ABAP oraz ABAP Platform umożliwiają uwierzytelnionemu atakującemu z normalnymi uprawnieniami uzyskanie ważnej podpisanej wiadomości i wysłanie zmodyfikowanych podpisanych dokumentów XML do weryfikatora. Może to prowadzić do akceptacji zmanipulowanych informacji tożsamości, co skutkuje nieautoryzowanym dostępem do wrażliwych danych użytkowników.

CVE-2026-40128
Krytyczne

SAP NetWeaver Application Server Java (Web Container) umożliwia nieautoryzowanemu atakującemu stworzenie złośliwego żądania logowania HTTP, które manipuluje parametrami dołączania plików, co pozwala na przeprowadzenie ataku typu path traversal.

CVE-2026-27671
Krytyczne

W wyniku niewłaściwej walidacji protokołu RFC w jądrze SAP używanym przez serwer aplikacji ABAP w SAP NetWeaver i platformie ABAP, nieautoryzowany atakujący może wysłać spreparowane żądanie RFC, które wykorzystuje błędy logiczne w zarządzaniu pamięcią, prowadząc do uszkodzenia pamięci.

CVE-2026-11697
Krytyczne

Niewystarczająca walidacja nieufnych danych wejściowych w interfejsie użytkownika w Google Chrome przed wersją 149.0.7827.103 umożliwiała zdalnemu atakującemu potencjalne wykonanie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.

CVE-2026-11671
Krytyczne

Wykorzystanie po zwolnieniu pamięci w nawigacji w Google Chrome przed wersją 149.0.7827.103 umożliwia zdalnemu atakującemu potencjalne wykonanie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.

CVE-2026-11659
Krytyczne

Przepełnienie całkowitej liczby w interfejsie użytkownika w Google Chrome na systemie Linux przed wersją 149.0.7827.103 może umożliwić zdalnemu atakującemu potencjalne wydostanie się z piaskownicy za pomocą spreparowanej strony HTML.

CVE-2026-11654
Krytyczne

Wykorzystanie po zwolnieniu pamięci w CameraCapture w Google Chrome na Mac przed wersją 149.0.7827.103 umożliwia zdalnemu atakującemu potencjalne przeprowadzenie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.

CVE-2026-11651
Krytyczne

W Google Chrome przed wersją 149.0.7827.103 wystąpiła podatność typu use after free w module sieciowym, która pozwalała zdalnemu atakującemu na wykonanie dowolnego kodu w obrębie piaskownicy za pomocą spreparowanej strony HTML.

CVE-2026-11638
Krytyczne

Wykorzystanie po zwolnieniu pamięci w funkcji drukowania w Google Chrome przed wersją 149.0.7827.103 umożliwia zdalnemu atakującemu potencjalne wykonanie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.

CVE-2026-11634
Krytyczne

W Google Chrome na systemie Windows przed wersją 149.0.7827.103 występuje podatność typu use after free w komponencie Gamepad, która może pozwolić zdalnemu atakującemu na potencjalne wydostanie się z piaskownicy za pomocą spreparowanej strony HTML.

CVE-2026-52778
Krytyczne

YesWiki to system wiki napisany w PHP, który przed wersją 4.6.6 zawierał podatność na niebezpieczne wykonanie w kalkulatorze pól formularza Bazar (CalcField.php). Problematyczna implementacja sanitizacji matematycznych formuł użytkownika prowadzi do podatności na ataki ReDoS oraz umożliwia wykonanie dowolnego kodu PHP.

CVE-2026-11393
Krytyczne

Nieprawidłowe neutralizowanie znaków potrójnego cudzysłowu podczas generowania kodu Pythona w AgentCore CLI przed wersją 0.14.2 może umożliwić uwierzytelnionemu zdalnemu atakującemu wykonanie dowolnego kodu na AWS AgentCore Runtime w ramach roli wykonawczej IAM importowanego agenta oraz w lokalnym środowisku innego użytkownika w tym samym koncie AWS.

CVE-2026-46289
Krytyczne

W jądrze Linuxa naprawiono podatność związaną z błędnymi obliczeniami długości w funkcji extract_kvec_to_sg. Problemy te mogły prowadzić do przekroczenia granic pamięci stron oraz do nakładania się wskaźników na istniejące elementy w liście scatterlist.

CVE-2026-41448
Krytyczne

AdGuard Home, uruchomiony z flagą --glinet, zawiera lukę w autoryzacji, która pozwala nieautoryzowanym atakującym uzyskać pełny dostęp administracyjny poprzez dostarczenie sekwencji przejścia ścieżki w ciasteczku Admin-Token. Wykorzystuje to niesanitarną konkatenację ciągów w konstrukcji ścieżki pliku tokena w middleware authglinet.

CVE-2026-39910
Krytyczne

API STACKIT IaaS zawiera lukę związaną z brakiem weryfikacji autoryzacji, która pozwala uwierzytelnionym, niskoprawnym atakującym na eskalację uprawnień do pełnego kompromitowania organizacji poprzez dołączanie dowolnych kont serwisowych do kontrolowanych przez nich maszyn wirtualnych.

CVE-2026-25555
Krytyczne

OpenBullet2 w wersji do 0.3.2 zawiera lukę w zabezpieczeniach, która pozwala na ominięcie uwierzytelniania w middleware autoryzacji klucza API. Atakujący mogą uzyskać dostęp do konsoli administracyjnej, dostarczając pustą wartość nagłówka X-Api-Key.

CVE-2026-46442
KrytyczneEPSS 61%

Flowise przed wersją 3.1.2 nie posiadał autoryzacji na poziomie trasy dla POST /api/v1/node-custom-function, co pozwalało każdemu uwierzytelnionemu użytkownikowi lub kluczowi API na przesyłanie dowolnego kodu JavaScript. W przypadku braku konfiguracji E2B_APIKEY, kod ten był wykonywany w sandboxie NodeVM, który można było opuścić.

CVE-2026-46441
Krytyczne

W wersjach przed 3.1.2 FlowiseAI występuje podatność na masowe przypisanie w punkcie końcowym aktualizacji asystenta. Umożliwia to uwierzytelnionym użytkownikom modyfikację właściwości kontrolowanych przez serwer, co może prowadzić do naruszenia izolacji najemców w środowiskach wielo-przestrzennych.

CVE-2026-46440
Krytyczne

Flowise to interfejs typu drag & drop do budowania dostosowanych przepływów dużych modeli językowych. W wersjach przed 3.1.2, punkt końcowy checkBasicAuth walidował dane uwierzytelniające w postaci niezaszyfrowanej bez ograniczeń liczby prób oraz z bezpośrednim porównaniem.

PoprzedniaStrona 47 z 556Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS