Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-39900
Średnie

Cacti to otwartoźródłowy framework do zarządzania wydajnością i błędami. Wersje 1.2.30 i wcześniejsze są podatne na atak typu Reflected XSS poprzez parametr tab w kontekście JavaScript pliku auth_profile.php. Problem został naprawiony w wersji 1.2.31.

CVE-2026-39899
Średnie

Cacti to framework open source do zarządzania wydajnością i awariami. Wersje 1.2.30 i wcześniejsze są podatne na Path Traversal przez parametr filename w pliku package_import.php. Problem został naprawiony w wersji 1.2.31.

CVE-2026-9775
ŚrednieEPSS 64%

Podatność w metodzie uploadSSL oprogramowania ATEN Unizon umożliwia zdalną, uwierzytelnioną eliminację dowolnych plików. Problem wynika z braku walidacji ścieżki dostarczonej przez użytkownika przed użyciem jej w operacjach na plikach.

CVE-2026-9774
ŚrednieEPSS 64%

Podatność w metodzie updateLicense oprogramowania ATEN Unizon umożliwia zdalną, uwierzytelnioną osobę do usunięcia dowolnych plików w systemie. Problem wynika z braku walidacji ścieżki podanej przez użytkownika przed użyciem jej w operacjach na plikach.

CVE-2026-54068
Średnie

SiYuan to system zarządzania wiedzą, który przed wersją 3.7.0 miał punkt końcowy /api/icon/getDynamicIcon, który nie wymagał uwierzytelnienia. Atakujący mogą wykorzystać ten punkt końcowy do wykonania dowolnych zapytań SELECT w bazie danych SQLite SiYuan, co prowadzi do wycieku danych użytkowników.

CVE-2026-53766
Średnie

Podatność w Chrome DevTools MCP (wersje 0.24.0 do 1.1.0) pozwala na obejście ograniczeń katalogów roboczych poprzez dowiązania symboliczne. Funkcja walidująca ścieżki nie normalizuje dowiązań symbolicznych, co umożliwia odczyt i zapis plików poza dozwolonym obszarem.

CVE-2026-53765
Średnie

Podatność w chrome-devtools-mcp od wersji 0.20.0 do 1.1.0 pozwala lokalnemu użytkownikowi z niskimi uprawnieniami na utworzenie dowiązania symbolicznego do pliku PID demona, co skutkuje nadpisaniem dowolnego pliku ofiary ciągiem PID procesu.

CVE-2026-47110
Średnie

Podatność w bibliotece Tiptap dla PHP przed wersją 2.1.1 umożliwia uwierzytelnionym atakującym przeprowadzenie ataku typu DoS poprzez przesłanie JSON-a z polem attrs.href ustawionym na tablicę zamiast stringa. Powoduje to nieobsłużony błąd TypeError w funkcji Link::isAllowedUri() podczas przekazywania do preg_match(), co prowadzi do trwałego uszkodzenia rekordu i blokady renderowania HTML dla wszystkich użytkowników.

CVE-2026-39897
Średnie

Cacti to otwarte źródło frameworka do zarządzania wydajnością i błędami. Wersje 1.2.30 i poniżej zawierają podatność typu Reflected XSS w html_auth_footer, która została naprawiona w wersji 1.2.31.

CVE-2026-10642
Średnie

Sterownik UART PL011 w Zephyr OS (drivers/serial/uart_pl011.c) zawiera nieograniczoną pętlę w funkcji pl011_irq_tx_enable(), która powoduje zawieszenie wątku przy włączonym sprzętowym sterowaniu przepływem CTS. Gdy urządzenie zewnętrzne deasertuje sygnał CTS, sterownik nie może opróżnić FIFO nadawczego, a pętla nigdy się nie kończy, prowadząc do odmowy usługi (CWE-835).

CVE-2025-60468
Średnie

W projekcie GPAC/MP4Box w wersji 2.5-DEV-rev1593-gfe88c3545-master wykryto podatność na przepełnienie bufora. Funkcja gf_filter_pid_inst_swap_delete_task() w pliku filter_core/filter_pid.c nieprawidłowo uzyskuje dostęp do zwolnionych obiektów podczas czyszczenia instancji PID po operacji zamiany/usunięcia, co prowadzi do użycia po zwolnieniu (use-after-free) na stercie.

CVE-2026-52816
Średnie

Gogs to otwartoźródłowa usługa Git, która przed wersją 0.14.3 miała lukę w punkcie końcowym sanitarnego przetwarzania notatników Jupyter (ipynb) na POST /-/api/sanitize_ipynb, pozwalającą na wprowadzenie dowolnych danych URI bez odpowiednich ograniczeń, co może prowadzić do ataków typu Cross-Site Scripting (XSS).

CVE-2026-52815
ŚrednieEPSS 72%

Gogs, otwartoźródłowa usługa Git, przed wersją 0.14.3 ma podatność na ujawnienie informacji bez uwierzytelnienia. Punkt końcowy GET /api/v1/orgs/:orgname/teams zwraca wszystkie zespoły dla dowolnej organizacji bez wymogu uwierzytelnienia.

CVE-2026-52814
Średnie

Gogs to otwartoźródłowa usługa Git, która przed wersją 0.14.3 była podatna na nieautoryzowany, asymetryczny atak typu Denial of Service (DoS) poprzez wbudowany serwer SSH. Atakujący mógł otworzyć wiele połączeń TCP do portu SSH, co prowadziło do wyczerpania deskryptorów plików i destabilizacji całego procesu Gogs.

CVE-2026-52809
Średnie

W Gogs przed wersją 0.14.3 tokeny resetowania hasła są generowane z czasem życia aktywacji konta (conf.Auth.ActivateCodeLives), a nie z czasem życia resetowania hasła (conf.Auth.ResetPasswordCodeLives). Czas życia tokena jest osadzony w nim podczas generowania i ponownie odczytywany podczas weryfikacji, co sprawia, że ustawienie RESET_PASSWORD_CODE_LIVES jest nieskuteczne. Nawet jeśli administrator skonfiguruje krótszy czas resetowania (np. 10 minut), tokeny pozostają ważne przez pełny czas aktywacji, a e-mail z resetem fałszywie informuje o krótszym terminie ważności.

CVE-2026-52807
Średnie

Gogs to otwartoźródłowa usługa Git, która przed wersją 0.14.3 miała problem z renderowaniem nazw kamieni milowych. Dzięki domyślnemu auto-escapowaniu w Go, możliwe było wstrzyknięcie HTML/JavaScript poprzez interakcję z rozwijanym menu w Semantic UI.

CVE-2026-52804
Średnie

Gogs to otwartoźródłowy, samodzielnie hostowany serwis Git. Przed wersją 0.14.3, administrator repozytorium z uprawnieniami współpracownika może eskalować swoje uprawnienia do poziomu właściciela, wykorzystując błąd off-by-one w funkcji ChangeCollaborationAccessMode. Luka została naprawiona w wersji 0.14.3.

CVE-2026-52802
Średnie

Gogs to otwartoźródłowa usługa Git, która przed wersją 0.14.3 zawierała podatność na otwarte przekierowania. Parametry redirect_to kontrolowane przez atakującego mogły omijać walidację, co pozwalało na przekierowanie do dowolnych zewnętrznych stron.

CVE-2026-52795
Średnie

Gogs to otwartoźródłowa usługa Git, która w wersji 0.14.3 i wcześniejszych pozwala uwierzytelnionym użytkownikom na obserwowanie prywatnych repozytoriów, do których nie mają dostępu. Problem wynika z błędnie zaimplementowanej kontroli dostępu w API Watch, co umożliwia atakującym dostęp do informacji z prywatnych repozytoriów.

CVE-2026-50128
Średnie

Mastodon, serwer społecznościowy oparty na ActivityPub, ma lukę w wersjach od 4.3.0 do 4.5.11 oraz 4.4.18, która pozwala na modyfikację wartości attributionDomains w podpisanych aktywnościach. Błąd w definicji tego terminu uniemożliwia skuteczne weryfikowanie podpisów Linked Data.

PoprzedniaStrona 49 z 522Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS