Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-49278
Średnie

W punkcie końcowym visitors.info w Rocket.Chat zwracany jest token uwierzytelniający w odpowiedzi API. Nie ma uzasadnionego przypadku użycia dla obecności tego tokena w odpowiedzi, a jego wyciek stanowi zagrożenie bezpieczeństwa. Podatność została załatana w wersjach 8.5.0, 8.4.2, 8.3.4, 8.2.4, 8.1.5, 8.0.6, 7.13.8 oraz 7.10.12.

CVE-2026-47733
Średnie

W wersjach przed 8.5.0 komponent ImageElement w Rocket.Chat renderuje wartości src kontrolowane przez użytkownika bez sanitizacji protokołów. Umożliwia to wstawienie złośliwego URL z protokołem javascript:, co może prowadzić do wykonania dowolnego kodu JavaScript w sesji użytkownika.

CVE-2026-32315
ŚrednieEPSS 85%

motionEye (mEye) to interfejs online dla oprogramowania do monitoringu wideo, które wykrywa ruch. Wersje przed 0.44.0 tworzą plik konfiguracyjny /etc/motioneye/motion.conf z uprawnieniami 644, co pozwala na jego odczyt przez każdego lokalnego użytkownika, ujawniając wrażliwe dane, w tym hasz hasła administratora.

CVE-2026-31978
Średnie

motionEye (mEye) to interfejs online dla oprogramowania do monitoringu wideo, które wykrywa ruch. Wersje przed 0.44.0 są podatne na atak typu path traversal w punktach końcowych API dla zdjęć i filmów, co pozwala uwierzytelnionemu użytkownikowi na odczyt dowolnych plików z systemu plików.

CVE-2026-13208
Średnie

W KubeVirt znaleziono lukę w serwerze powiadomień domeny virt-handler. Procedury obsługi gRPC dla HandleDomainEvent i HandleK8SEvent pobierają tożsamość VMI (przestrzeń nazw/nazwa) wyłącznie z treści żądania, bez weryfikacji jej względem źródła połączenia. Każdy proces virt-launcher łączy się przez gniazdo potoku per-VMI, ale żaden znacznik tożsamości nie jest propagowany ze ścieżki potoku do procedur obsługi serwera.

CVE-2025-64719
Średnie

W Gogs przed wersją 0.14.3, złośliwy użytkownik z uprawnieniami do tworzenia nowych plików w repozytorium lub na stronie wiki może wywołać odmowę usługi (DoS). Powoduje to, że strony z listą plików zwracają błąd HTTP 500 i uniemożliwiają korzystanie z interfejsu webowego dla danego repozytorium lub wiki.

CVE-2026-48028
Średnie

Mastodon przed wersjami 4.5.10, 4.4.17 i 4.3.23 nieprawidłowo normalizował przychodzące aktywności podpisane za pomocą Linked-Data Signatures, co umożliwiało atakującym usuwanie wpisów JSON z ważnych podpisanych aktywności od zewnętrznych podmiotów.

CVE-2026-46349
Średnie

Mastodon, serwer społecznościowy oparty na ActivityPub, przed wersjami 4.5.10, 4.4.17 i 4.3.23, nieprawidłowo normalizował przychodzące aktywności podpisane za pomocą Linked-Data Signatures, co umożliwiało atakującym manipulację ważnymi, podpisanymi aktywnościami JSON-LD od zewnętrznych podmiotów.

CVE-2026-53949
Średnie

W systemie zarządzania treścią Ghost, od wersji 5.46.1 do 6.21.2, walidacja filtrów na publicznych punktach API mogła być częściowo obejściowa, co umożliwiało ujawnienie prywatnych pól poprzez atak brute force. W przypadku użycia SQLite, hasła były w pełni dostępne, natomiast w przypadku MySQL, wielkość liter w hasłach została utracona, co mogło uniemożliwić dalsze ataki brute force.

CVE-2026-53948
Średnie

Ghost to system zarządzania treścią oparty na Node.js. W wersjach od 6.19.4 do 6.21.1 niewystarczająca walidacja typu Content-Type dostarczanego przez klienta na końcówce API do przesyłania plików umożliwiła serwowanie przesłanych plików z wybranym przez atakującego typem treści z backendów S3/GCS.

CVE-2026-53947
Średnie

Podatność w systemie zarządzania treścią Ghost (wersje od 5.18.0 do 6.21.1) umożliwia nieuwierzytelnionemu atakującemu sprawdzenie, czy dany adres e-mail należy do zarejestrowanego użytkownika. Problem wynika z różnic w odpowiedziach zwracanych przez endpointy logowania członków.

CVE-2026-53946
Średnie

Ghost to system zarządzania treścią oparty na Node.js. W wersjach od 6.19.4 do 6.21.1, podczas ponownego renderowania postów, Ghost mógł wysyłać żądania HTTP do nieautoryzowanych hostów obrazów, co stwarzało ryzyko dla bezpieczeństwa.

CVE-2026-53945
Średnie

Ghost to system zarządzania treścią oparty na Node.js. W wersjach od 6.0.9 do 6.21.1, sprawdzenie prywatnego adresu IP dla wychodzących żądań HTTP mogło być obejście za pomocą DNS rebinding, co pozwalało atakującemu na zmuszenie serwera Ghost do łączenia się z hostami w sieciach wewnętrznych.

CVE-2026-53944
Średnie

Ghost to system zarządzania treścią oparty na Node.js. W wersjach od 6.0.9 do 6.21.1 istnieje możliwość ominięcia filtra IP podczas wykonywania zewnętrznego żądania, co pozwala na skierowanie go do wewnętrznej usługi przy użyciu literału IPv6 odpowiadającego prywatnemu adresowi IPv4.

CVE-2026-49220
Średnie

Jellyfin, otwartoźródłowy serwer multimedialny, przed wersją 10.11.9 zawierał potencjalną podatność XSS, która pozwalała na wykonanie dowolnego kodu Javascript przez nieuprzywilejowanego użytkownika w kontekście zalogowanego użytkownika administracyjnego. Atak mógł wystąpić poprzez nagłówek Client podczas AuthenticateByName.

CVE-2026-13034
Średnie

Nieodpowiednia implementacja w systemie haseł w Google Chrome przed wersją 149.0.7827.197 umożliwiła zdalnemu atakującemu, który przejął proces renderowania, ominięcie izolacji witryn za pomocą spreparowanej strony HTML.

CVE-2026-13030
Średnie

Podatność w przeglądarce Google Chrome na Androidzie przed wersją 149.0.7827.197 wynika z użycia niezainicjalizowanej pamięci w module GPU. Zdalny atakujący może wykorzystać specjalnie spreparowaną stronę HTML do odczytu potencjalnie wrażliwych danych z pamięci procesu.

CVE-2026-13024
Średnie

Podatność w Google Chrome przed wersją 149.0.7827.197 wynika z niewystarczającej walidacji niezaufanych danych wejściowych w mechanizmie nawigacji. Umożliwia ona zdalnemu atakującemu, który przejął proces renderowania, ominięcie izolacji witryn za pomocą spreparowanej strony HTML.

CVE-2026-13023
Średnie

Podatność w Google Chrome przed wersją 149.0.7827.197 polega na użyciu niezainicjalizowanej pamięci w GPU. Zdalny atakujący, który przejął proces renderowania, może uzyskać potencjalnie wrażliwe informacje z pamięci procesu za pomocą spreparowanej strony HTML.

CVE-2026-13022
Średnie

Podatność w mechanizmie Autofill w przeglądarce Google Chrome przed wersją 149.0.7827.197 umożliwiała zdalnemu atakującemu, który przejął proces renderowania, wyciek danych między domenami za pomocą spreparowanej strony HTML.

PoprzedniaStrona 50 z 522Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS