Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-45758
Krytyczne

W dniu 11 maja 2026 roku opublikowano złośliwą wersję pakietu `guardrails-ai` (0.10.1) na PyPI, co mogło wpłynąć na użytkowników, którzy go zainstalowali. Badacze bezpieczeństwa zidentyfikowali złośliwy pakiet w ciągu około 2 godzin, a PyPI podjęło działania w celu jego kwarantanny.

CVE-2026-11420
Krytyczne

Dwie podatności typu path traversal w usłudze Network Installation Service (NIS) serwera Altium Enterprise pozwalają nieautoryzowanemu atakującemu na zapis dowolnych plików w dowolnej zapisywalnej lokalizacji na systemie plików serwera oraz na odczyt plików archiwów pakietów z serwera.

CVE-2026-11414
Krytyczne

W Altium Enterprise Server występuje podatność związana z używaniem twardo zakodowanego klucza kryptograficznego do podpisywania adresów URL pobierania plików. Klucz ten jest identyczny we wszystkich instalacjach, co pozwala nieautoryzowanym atakującym na fałszowanie podpisów i pobieranie plików z obszaru przechowywania Vault bez autoryzacji.

CVE-2026-46496
Krytyczne

HAX CMS, który zarządza mikrositami z backendami PHP lub NodeJs, ma podatność na przechowywane ataki XSS w wersjach przed 26.0.0. Problem wynika z niewłaściwego oczyszczania komponentu `<video-player>`, który pozwala na użycie URI `javascript:` w atrybucie `source`.

CVE-2026-46399
Krytyczne

HAX CMS w wersjach przed 26.0.0 posiada podatność na nadpisywanie plików, która wymaga uwierzytelnienia. Atakujący może wykorzystać tę podatność do skonfigurowania złośliwych poleceń Git, co prowadzi do wykonania kodu na serwerze HAX CMS.

CVE-2026-46396
Krytyczne

W HAX CMS, który zarządza mikrositami z backendami PHP lub NodeJs, występuje podatność na przechowywane ataki XSS w wersjach przed 26.0.0. Problem wynika z niewłaściwego oczyszczania elementów `<iframe>`, co pozwala na wykonanie złośliwego kodu JavaScript.

CVE-2026-46395
Krytyczne

HAX CMS, który zarządza mikrositami z backendem PHP lub Node.js, przed wersją 26.0.0 zawierał krytyczne błędy w implementacji kryptograficznej w funkcji `hmacBase64()`. Te błędy pozwalały nieautoryzowanym atakującym na wydobycie prywatnego klucza podpisywania systemu oraz fałszowanie tokenów JWT, co umożliwiało pełny dostęp administracyjny za pomocą jednego żądania HTTP.

CVE-2026-46389
Krytyczne

W wersjach 0.11.0 do 0.26.0 występuje błąd logiczny w uwierzytelnianiu klienta `client-kubernetes-secret` w Keycloak, co pozwala atakującemu na nadpisanie `client_secret` z zamontowanego sekretu Kubernetes. To umożliwia uwierzytelnienie się jako dany klient z dowolną wartością `client_secret` i uzyskanie tokenów OAuth2.

CVE-2026-10580
Krytyczne

Wtyczka Hippoo Mobile App dla WooCommerce w WordPressie jest podatna na obejście uwierzytelnienia, co prowadzi do przejęcia konta administratora we wszystkich wersjach do i włącznie z 1.9.4. Problem wynika z błędu logicznego w funkcji HippooPermissions::get_user_permissions(), która zwraca ten sam null dla administratorów i niezautoryzowanych użytkowników.

CVE-2026-45750
Krytyczne

Termix to platforma zarządzania serwerem, która przed wersją 2.3.2 miała lukę w komponencie Menedżer plików, gdzie parametr ścieżki był niebezpiecznie przetwarzany. To umożliwiało wykonanie poleceń powłoki przez złośliwych użytkowników w aktywnej sesji SSH.

CVE-2026-45748
Krytyczne

Termix to platforma zarządzania serwerami oparta na sieci web, która przed wersją 2.3.2 miała lukę w punkcie końcowym `POST /ssh/tunnel/connect`. Luka ta pozwalała na wstrzyknięcie poleceń systemowych poprzez interpolację pól kontrolowanych przez użytkownika w poleceniu powłoki.

CVE-2026-45746
Krytyczne

Termix to platforma zarządzania serwerami, która przed wersją 2.3.2 zawierała krytyczną podatność na złamanie kontroli dostępu w funkcjonalności Menedżera Plików. Problem wynikał z niewłaściwej walidacji parametru sessionId, co pozwalało atakującemu na dostęp do sesji Menedżera Plików innych użytkowników.

CVE-2026-45744
Krytyczne

Termix to platforma zarządzania serwerem oparta na sieci, która przed wersją 2.3.2 była podatna na wstrzykiwanie poleceń systemowych w punkcie końcowym GET /ssh/file_manager/ssh/resolvePath. Umożliwia to uwierzytelnionym użytkownikom wykonanie dowolnych poleceń na zdalnym hoście.

CVE-2026-36500
Krytyczne

W składniku cluster-admin:backup-datastore w wersji Controller v12.0.5 występuje problem, który umożliwia atakującym wykonanie ataku typu directory traversal za pomocą spreparowanego żądania.

CVE-2025-71318
Krytyczne

NetMan 204 nie wymusza uwierzytelniania na swoich stronach administracyjnych i punktach końcowych komend. Zdalny, nieautoryzowany atakujący może bezpośrednio żądać stron administracyjnych, co prowadzi do ujawnienia wrażliwych informacji oraz możliwości wywołania uprzywilejowanych komend kontrolnych UPS.

CVE-2025-71317
Krytyczne

NetMan 204 zawiera twardo zakodowane konto backdoor z nazwą użytkownika i hasłem 'eurek', które przyznaje dostęp administracyjny. Zdalny, nieautoryzowany atakujący może uwierzytelnić się przez punkt końcowy cgi-bin/login.cgi, co pozwala na uzyskanie uprawnień administratora.

CVE-2026-9270
Krytyczne

Wersje DataDog::DogStatsd do 0.07 dla Perla pozwalają na wstrzykiwanie metryk z powodu niewłaściwego sanitizowania danych wejściowych. Metoda send_stats nie usuwa nowych linii z nazw metryk, co umożliwia atakującym zmianę prefiksu nazwy metryki.

CVE-2026-11362
Krytyczne

Wersje DataDog::DogStatsd do 0.07 dla Perla pozwalają na wstrzykiwanie metryk z tagów zdarzeń. Metoda format_event nie waliduje zawartości tagów, co umożliwia wstrzykiwanie danych z niezaufanych źródeł.

CVE-2026-10879
Krytyczne

Wersje DBI przed 1.648 dla Perla mają podatność na przepełnienie sterty podczas wstępnego przetwarzania zapytań SQL z więcej niż 9 binderami. Metoda preparse rozszerza znaki zastępcze SQL na ponumerowane bindery, ale alokuje tylko trzy znaki na binder w buforze.

CVE-2026-6274
Krytyczne

W systemie Redline WR3200 występuje luka związana z niewłaściwą autoryzacją, która pozwala na dostęp do funkcji nieodpowiednio zabezpieczonych przez listy kontroli dostępu (ACL). Problem dotyczy wersji od 7.1.3 do przed 7.1.8.

PoprzedniaStrona 49 z 557Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS