Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-54326
Niskie

Podatność w narzędziu Pi (wersje od 0.74.0 do 0.78.1) pozwala na wstrzyknięcie niebezpiecznych adresów URL w eksportowanych plikach HTML. Mechanizm filtrowania schematów URL nie radzi sobie z kontrolnymi znakami C0, które są normalizowane przez przeglądarki przed nawigacją, co umożliwia ominięcie zabezpieczeń.

CVE-2026-57062
Niskie

Podatność w parserze CMS w narzędziu gpgsm pakietu GnuPG (do wersji 2.5.20) nieprawidłowo obsługuje format CMS dla szyfrowania AES-GCM. Pole aes-ICVlen powinno mieć długość 12 bajtów, ale akceptowana jest również wartość 4 bajtów, co może prowadzić do błędów w weryfikacji integralności danych.

CVE-2026-56968
Niskie

W bibliotece GNU SASL przed wersją 2.2.4 brakuje sanityzacji krótkiego wyzwania w funkcji _gsasl_ntlm_client_step w kliencie NTLM, co może prowadzić do ujawnienia pamięci przez spreparowany serwer.

CVE-2025-15619
Niskie

Podatność w HCL Connections umożliwia nieautoryzowanemu użytkownikowi dostęp do danych w jednym konkretnym scenariuszu z powodu niesprawnej kontroli dostępu.

CVE-2026-56376
Niskie

ImageMagick w wersjach przed 7.1.2-15 oraz 6.9.13-40 zawiera podatność typu use-after-free w kodzie meta. W przypadku niepowodzenia alokacji pamięci, jeden bajt jest zapisywany do nieaktualnego wskaźnika, co może prowadzić do awarii usługi.

CVE-2026-55654
Niskie

W OpenSSH znaleziono podatność polegającą na odczycie poza dozwolonym obszarem sterty podczas czyszczenia wskaźników GSSAPI. Brak kończącego znaku NULL w tablicy auth-indicators może pozwolić zdalnemu atakującemu na spowodowanie awarii lub przerwania ścieżki uwierzytelniania SSH.

CVE-2026-49460
Niskie

Podatność w bibliotece pypdf przed wersją 6.12.2 pozwala atakującemu na stworzenie pliku PDF, który powoduje długi czas przetwarzania. Wymaga to dostępu do strumienia wykorzystującego filtr /FlateDecode z predyktorem PNG.

CVE-2026-47241
Niskie

Net::IMAP w Ruby przed wersjami 0.6.5 i 0.5.15 ma podatność, która pozwala na wstrzyknięcie dodatkowych poleceń przez atakującego. Wykorzystując nieprawidłowo walidowane argumenty, atakujący może zmusić pierwsze polecenie do oczekiwania na zakończenie innego polecenia.

CVE-2026-48931
Niskie

Błąd w agencie HTTP Node.js może spowodować, że klient zaakceptuje odpowiedź wysłaną przed wysłaniem żądania. Podatność dotyczy wszystkich wspieranych linii wydań: Node.js 22, Node.js 24 i Node.js 26.

CVE-2026-53663
Niskie

React Router w wersjach od 7.12.0 do 7.15.1 miał niewystarczające kontrole CSRF w trybie Framework Mode, które działały na żądania POST, ale były omijane w przypadku żądań PUT/PATCH/DELETE. Ta podatność została naprawiona w wersji 7.15.1.

CVE-2026-54282
Niskie

W Starlette przed wersją 1.3.0 ścieżka żądania HTTP nie jest walidowana przed użyciem do rekonstrukcji request.url. Ponieważ request.url jest odtwarzane przez konkatenację {scheme}://{host}{path} i ponowne parsowanie wyniku, ścieżka nie zaczynająca się od / (np. @google.com) przesuwa granicę autorytetu podczas ponownego parsowania, przez co request.url.hostname i request.url.netloc stają się kontrolowane przez atakującego.

CVE-2026-53540
Niskie

W bibliotece Python-Multipart przed wersją 0.0.31 funkcja parse_form() nie walidowała nagłówka Content-Length przed użyciem go do ograniczenia odczytu treści żądania. Ujemna wartość Content-Length powodowała odczyt całego ciała żądania do pamięci zamiast w stałych fragmentach.

CVE-2026-53538
Niskie

Python-Multipart przed wersją 0.0.30 błędnie traktował średnik (;) jako separator pól w ciałach żądań typu application/x-www-form-urlencoded, podczas gdy standard WHATWG i nowoczesne przeglądarki uznają tylko znak &. Ta różnica w parsowaniu umożliwia atakującemu przemycenie dodatkowych pól formularza obok komponentu sprawdzającego ciało żądania.

CVE-2026-53537
Niskie

Podatność w bibliotece Python-Multipart przed wersją 0.0.30 polega na tym, że funkcja parse_options_header dekoduje nagłówki Content-Disposition i Content-Type z użyciem RFC 2231/5987, co pozwala na przemycenie alternatywnej nazwy pola lub pliku (filename*) w formacie multipart/form-data. Atakujący może wykorzystać różnice w interpretacji tych nagłówków między komponentami bezpieczeństwa (WAF, proxy) a backendem, aby ominąć inspekcję.

CVE-2026-49356
Niskie

Babel to kompilator do pisania nowoczesnego JavaScript. Przed wersjami 8.0.0-rc.6 i 7.29.6, @babel/core był podatny na odczyt dowolnego pliku przez komentarz sourceMappingURL. Użycie @babel/core do kompilacji złośliwie spreparowanego kodu może pozwolić atakującemu na odczyt dowolnej mapy źródłowej z systemu, na którym działa Babel, jeśli atakujący kontroluje wejściowy kod źródłowy, może odczytać wyjściowy kod źródłowy i zna ścieżkę pliku mapy źródłowej, który chce odczytać.

CVE-2026-9610
Niskie

IBM Datacap 9.1.7, 9.1.8 i 9.1.9 oraz IBM Datacap Navigator 9.1.7, 9.1.8 i 9.1.9 ujawniają zasoby lub funkcjonalności, które nie są powiązane w interfejsie użytkownika, ale są dostępne przez bezpośrednie żądanie URL, omijając zamierzone mechanizmy kontroli dostępu.

CVE-2026-8823
Niskie

Podatność w Mattermost w wersjach 11.7.x <= 11.7.0 oraz 10.11.x <= 10.11.17 wynika z braku walidacji kont botów podczas degradowania użytkowników do roli gościa. Umożliwia to administratorowi o niższych uprawnieniach obniżenie poziomu dowolnego konta bota za pomocą standardowego API do degradacji użytkownika.

CVE-2026-8074
Niskie

Wersje Mattermost 11.7.x do 11.7.0 oraz 10.11.x do 10.11.17 nie egzekwują kontroli uprawnień specyficznych dla botów na końcowym punkcie aktywności użytkownika. Umożliwia to Menedżerowi Użytkowników z dostępem do zarządzania użytkownikami, ale bez dostępu do Integracji, dezaktywację kont botów za pomocą punktu końcowego PUT /api/v4/users/{id}/active.

CVE-2026-12888
Niskie

Występuje podatność na wstrzykiwanie HTML w powiadomieniach webhook Google Chat wysyłanych przez Thinkst Applied Research Canarytokens, co umożliwia manipulację interfejsem w Google Chat. Atakujący może wprowadzać ograniczoną zawartość HTML, w tym linki.

CVE-2026-12823
Niskie

W komponencie Autobrowse Trace Artifact Handler w Browserbase Skills do wersji 20260526 wykryto lukę bezpieczeństwa. Nieznana funkcja ustawia nieprawidłowe domyślne uprawnienia, co może prowadzić do nieautoryzowanego dostępu. Atak wymaga lokalnego dostępu, a exploit został opublikowany.

PoprzedniaStrona 6 z 60Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS