Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-47065
Krytyczne

Podatność w bibliotece ZDRES-232 i ZDRES-233 umożliwia ominięcie filtru akceptowanych klas poprzez użycie java.lang.reflect.Proxy oraz wywołanie inicjalizatora statycznego dozwolonej klasy przed utworzeniem instancji. Atakujący może zdalnie wykonać kod lub wywołać niepożądane efekty uboczne.

CVE-2025-14771
Krytyczne

W T-MAC Plus w wersji 4.0-24 występuje podatność, która umożliwia dostęp do plików lub katalogów osobom zewnętrznym. Problem ten może prowadzić do nieautoryzowanego ujawnienia danych.

CVE-2026-32625
Krytyczne

W wersjach do 0.8.3 LibreChat, integracja serwera Model Context Protocol (MCP) rozwiązuje miejsca ${VAR} w adresach URL serwera MCP dostarczonych przez użytkowników. Umożliwia to uwierzytelnionym użytkownikom stworzenie złośliwej konfiguracji serwera MCP, co prowadzi do przesyłania wrażliwych danych do serwera kontrolowanego przez atakującego.

CVE-2026-49448
Krytyczne

W aplikacji authentik, będącej otwartoźródłowym dostawcą tożsamości, przed wersjami 2025.12.6, 2026.2.4 i 2026.5.1 istniała możliwość ominięcia etapu źródłowego poprzez wysłanie pustego żądania POST. Problem ten został naprawiony w wymienionych wersjach.

CVE-2026-42849
Krytyczne

W oprogramowaniu authentik, będącym otwartoźródłowym dostawcą tożsamości, przed wersjami 2025.12.5 i 2026.2.3 istniała możliwość wykorzystania podatności XSS w AutosubmitStage z powodu implementacji etapów w SFE (Simple Flow Executor) w celu zwiększenia kompatybilności interfejsu z przestarzałymi przeglądarkami.

CVE-2026-5076
Krytyczne

Wtyczka ARMember Premium dla WordPressa jest podatna na niebezpieczny mechanizm resetowania hasła we wszystkich wersjach do i włącznie z 7.3.1. Wtyczka przechowuje niezaszyfrowaną kopię klucza resetowania hasła w polu meta użytkownika `arm_reset_password_key`, co umożliwia atakującym ustawienie nowego hasła dla dowolnego użytkownika.

CVE-2026-38967
Krytyczne

CrowCpp Crow w wersji do 1.3.1 jest podatny na wstrzykiwanie nagłówków odpowiedzi poprzez niezweryfikowane wartości nagłówków odpowiedzi.

CVE-2026-42074
Krytyczne

OpenClaude to interfejs wiersza poleceń dla dostawców modeli chmurowych i lokalnych. Przed wersją 0.5.1 parametr dangerouslyDisableSandbox był dostępny w schemacie wejściowym BashTool, co pozwalało na ustawienie go na true przez LLM, co w połączeniu z domyślnym ustawieniem allowUnsandboxedCommands: true umożliwiało wykonanie dowolnych poleceń poza piaskownicą.

CVE-2026-0611
Krytyczne

Wersje 10.5.x i wyższe oraz 11.x.x przed 11.6.0 systemu Spacelabs Healthcare Sentinel zawierają podatność na zdalne wykonanie kodu bez uwierzytelnienia poprzez przestarzały kanał HTTP .NET Remoting, wystawiony na porcie 8989. Atakujący mogą przeprowadzać operacje odczytu i zapisu plików, co pozwala na umieszczanie webshelli ASPX w katalogu wwwroot IIS.

CVE-2026-47117
Krytyczne

OpenMed w wersjach przed 1.5.2 zawiera podatność na zdalne wykonanie kodu w ścieżce ładowania modelu filtra prywatności PII. Dispatcher filtra prywatności stosował szerokie dopasowanie podciągów na parametrze model_name dostarczanym przez użytkownika, co pozwalało na przekierowanie do ścieżki ładującej modele Hugging Face z ustawieniem trust_remote_code=True.

CVE-2026-7312
Krytyczne

W wersjach Progress Sitefinity od 14.0.7700 do 14.4.8152 oraz od 15.0.8200 do 15.0.8234, 15.1.8300 do 15.1.8335, 15.2.8400 do 15.2.8441, 15.3.8500 do 15.3.8531 i 15.4.8600 do 15.4.8630 występuje podatność związana z niewystarczającą ochroną poświadczeń w usługach internetowych. Atakujący zdalny, nieautoryzowany może uzyskać dostęp do poświadczeń w postaci tekstu jawnego używanych do łączenia się z usługą Sitefinity Insight.

CVE-2026-7198
Krytyczne

CVE-2026-7198 dotyczy niewłaściwej kontroli dostępu w usługach internetowych Progress Sitefinity w wersjach przed 15.4.8630. Umożliwia to zdalnemu, nieautoryzowanemu atakującemu dostęp do treści, które powinny być zastrzeżone.

CVE-2026-10611
Krytyczne

W MISP występuje podatność na obejście uwierzytelnienia, gdy włączona jest mieszana autoryzacja LDAP z wymuszeniem OTP. Użytkownicy mogą uzyskać dostęp do aplikacji bez przechodzenia przez wymagany krok weryfikacji OTP.

CVE-2026-42684
Krytyczne

Podatność CVE-2026-42684 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL w wtyczce Ahmad WP Job Portal, co umożliwia atak typu Blind SQL Injection. Problem ten dotyczy wersji WP Job Portal od n/a do 2.5.1.

CVE-2026-34906
KrytyczneEPSS 60%

W Wirtualnej Uczelni występuje podatność typu Server-Side Template Injection (SSTI), która pozwala nieautoryzowanemu atakującemu na zdalne wykonanie kodu (RCE). W punkcie końcowym redirectToUrl oraz parametrze redirectUrlParameter niewystarczająca walidacja wejścia umożliwia wstrzykiwanie dowolnych wyrażeń szablonów, które są wykonywane na serwerze.

CVE-2025-53209
Krytyczne

Podatność związana z nieprawidłowym przypisaniem uprawnień w Themeisle Masteriyo LMS PRO umożliwia eskalację uprawnień. Problem dotyczy wersji Masteriyo LMS PRO od n/a do 2.20.0.

CVE-2026-8206
Krytyczne

Wtyczka Kirki – Freeform Page Builder, Website Builder & Customizer dla WordPressa jest podatna na eskalację uprawnień poprzez przejęcie konta w wersjach od 6.0.0 do 6.0.6. Problem wynika z akceptacji dowolnego adresu e-mail podczas żądania resetowania hasła, co umożliwia nieautoryzowanym atakującym wysyłanie linków do resetowania haseł dla zarejestrowanych użytkowników na ich własne adresy e-mail.

CVE-2026-25879
Krytyczne

Langroid to framework do budowania aplikacji opartych na dużych modelach językowych. W wersjach przed 0.63.0, SQLChatAgent wykonuje SQL generowany przez LLM, który może być manipulowany przez wstrzyknięcie polecenia. Atakujący, mający dostęp do odpowiednich danych, może wymusić wykonanie niebezpiecznych operacji na serwerze bazy danych.

CVE-2026-40965
Krytyczne

Wersje Cloud Foundry UAA od v76.12.0 do v78.12.0 są podatne na ujawnienie klucza prywatnego. Serwer zawiera lukę, w której klucze prywatne EC (krzywe eliptyczne) są niezamierzenie ujawniane przez publiczny punkt końcowy /token_keys.

CVE-2018-25427
Krytyczne

Arm Whois 3.11 zawiera podatność na przepełnienie bufora na stosie, która pozwala zdalnym atakującym na wykonanie dowolnego kodu poprzez dostarczenie zbyt dużego wejścia w polu adresu IP lub domeny. Atakujący mogą stworzyć złośliwe wejście przekraczające 658 bajtów z shellcode'em, aby nadpisać strukturalny handler wyjątków i uzyskać wykonanie poleceń, gdy aplikacja przetwarza to wejście.

PoprzedniaStrona 55 z 557Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS