Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-9319
Krytyczne

IBM WebSphere Application Server w wersjach 9.0 i 8.5 jest podatny na potencjalne zdalne wykonanie kodu z powodu deserializacji nieufnych danych przez punkty końcowe JAX-WS z WS-Security.

CVE-2026-9311
Krytyczne

IBM WebSphere Application Server w wersjach 9.0 i 8.5 jest podatny na zdalne wykonanie kodu z powodu obejścia zabezpieczeń.

CVE-2026-8644
Krytyczne

IBM WebSphere Application Server w wersjach 9.0 i 8.5 jest podatny na oszustwa tożsamości. Atakujący może wykorzystać tę podatność do podszywania się pod inne osoby.

CVE-2026-22872
Krytyczne

Capsule to framework dla Kubernetes, który obsługuje wielo-tenancy i polityki. Kontroler Capsule działa z uprawnieniami cluster-admin, co pozwala administratorom tenantów na tworzenie zasobów o zasięgu klastra, co prowadzi do eskalacji uprawnień między tenantami oraz ataków na poziomie klastra przed wersją 0.13.0.

CVE-2026-45132
Krytyczne

CloudPirates Open Source Helm Charts zawiera zestaw wykresów Helm. Przed poprawką w commit fcf9302, workflow GitHub Actions (generate-schema.yaml) ujawniał wrażliwe dane uwierzytelniające (token dostępu osobistego i klucz podpisu SSH) z powodu niebezpiecznych praktyk obsługi checkoutu i danych uwierzytelniających.

CVE-2026-45131
Krytyczne

CloudPirates Open Source Helm Charts zawierał lukę, w której workflow GitHub Actions (pull-request.yaml) wykonywał kod kontrolowany przez atakującego z forków pull requestów w kontekście z uprawnieniami, co prowadziło do ujawnienia sekretów repozytorium, w tym poświadczeń i tokenów Docker Hub, bez potrzeby zatwierdzenia przez maintainerów. Problem został naprawiony w commicie fcf9302.

CVE-2026-44211
Krytyczne

Cline to autonomiczny agent kodujący dostępny jako SDK, rozszerzenie IDE lub asystent CLI. W wersjach 2.13.0 i wcześniejszych występuje podatność na przejęcie WebSocket z różnych źródeł w serwerach Cline Kanban. W momencie publikacji nie ma dostępnych publicznie poprawek.

CVE-2026-42672
Krytyczne

Podatność CVE-2026-42672 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w WP Directory Kit. Problem ten dotyczy wersji od n/a do 1.5.1.

CVE-2026-48879
Krytyczne

Podatność związana z nieprawidłowym przypisaniem uprawnień w Sergey AIWU umożliwia eskalację uprawnień. Problem dotyczy wersji AIWU od n/a do 1.4.17.

CVE-2026-48866
Krytyczne

Podatność typu 'Path Traversal' w Gravity Forms firmy Rocketgenius Inc. pozwala na nieprawidłowe ograniczenie ścieżki do zastrzeżonego katalogu. Dotyczy to wersji Gravity Forms od n/a do 2.10.0.1.

CVE-2026-42682
Krytyczne

W wpForo Forum występuje luka związana z brakiem autoryzacji, która pozwala na wykorzystanie nieprawidłowo skonfigurowanych poziomów kontroli dostępu. Problem ten dotyczy wersji od n/a do 3.0.6.

CVE-2026-42680
Krytyczne

Podatność CVE-2026-42680 dotyczy niewłaściwego przypisania uprawnień w aplikacji Contest Gallery Pro, co umożliwia eskalację uprawnień. Problem ten występuje w wersjach od n/a do 29.0.1.

CVE-2026-0826
KrytyczneEPSS 52%

W określonych scenariuszach, gdy administrator włączył Interaktywną Establizację Łączności (ICE), może wystąpić przepełnienie bufora, które umożliwia zdalne wykonanie kodu na produktach Poly Voice działających na platformie Linux.

CVE-2026-7858
Krytyczne

Podatność na deserializację niezaufanych danych dotyczy Teamwork Cloud od No Magic w wersjach od 2022x do 2026x oraz Magic Collaboration Studio od CATIA Magic w wersjach od 2022x do 2026x. Może prowadzić do zdalnego wykonania kodu bez uwierzytelnienia.

CVE-2026-42252
Krytyczne

Dokumentacja Apache Airflow zawierała przykład użycia `BashOperator` bez ostrzeżenia o konieczności cytowania/sanitizacji, co mogło prowadzić do wstrzyknięcia metacharakterów powłoki. Użytkownicy z uprawnieniami `Dag.can_trigger` mogli wykorzystać ten błąd, aby wykonać złośliwy kod na serwerze roboczym.

CVE-2026-48188
Krytyczne

W podatności CVE-2026-48188 występuje nieprawidłowa walidacja danych wejściowych w module warstwy bazy danych OTRS, co pozwala na nieautoryzowaną injekcję SQL prowadzącą do obejścia uwierzytelniania. Problem ten występuje tylko wtedy, gdy serwer MySQL/MariaDB jest skonfigurowany z trybem SQL NO_BACKSLASH_ESCAPES.

CVE-2026-10187
Krytyczne

Wykryto podatność w urządzeniu Totolink N300RH w wersji 6.1c.1353_B20190305. Problem dotyczy funkcji setWiFiBasicConfig w pliku wireless.so interfejsu zarządzania przez sieć, gdzie manipulacja argumentem KeyStr prowadzi do przepełnienia bufora na stosie.

CVE-2018-25412
Krytyczne

Delta Sql w wersji 1.8.2 zawiera podatność na nieautoryzowane przesyłanie plików, która pozwala atakującym na przesyłanie złośliwych plików poprzez wysyłanie żądań POST do docs_upload.php z odpowiednio skonstruowanymi danymi formularza wieloczęściowego. Atakujący mogą przesyłać pliki PHP z dowolną zawartością do katalogu przesyłania i wykonywać je na serwerze, co prowadzi do zdalnego wykonania kodu.

CVE-2026-45700
Krytyczne

FreeRDP przed wersją 3.26.0 zawiera podatność na zapis poza zakresem sterty w dekoderze bitmap planarnych. Błąd występuje w funkcji freerdp_bitmap_decompress_planar(), która nieprawidłowo waliduje współrzędne docelowe, umożliwiając atakującemu zapis poza buforem wewnętrznym pTempData.

CVE-2026-45697
Krytyczne

Formie to wtyczka Craft CMS służąca do tworzenia formularzy. W wersjach przed 2.2.20 i 3.1.24, nieautoryzowani użytkownicy mogli przesyłać spreparowane wartości do ukrytych pól, które były oceniane jako Twig podczas obsługi przesyłania, co mogło prowadzić do poważnego kompromitowania witryny Craft.

PoprzedniaStrona 56 z 557Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS