Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-8054
Krytyczne

W dotCMS Core w wersjach od 25.11.04-1 do 26.04.28-02 występuje podatność na SQL Injection w punktach końcowych API Publish Audit, co pozwala zdalnym, nieautoryzowanym atakującym na odczyt, modyfikację lub zniszczenie dowolnej zawartości bazy danych.

CVE-2026-49002
Krytyczne

Błąd w kontroli dostępu pozwala nieautoryzowanym użytkownikom na dostęp do danych systemowych, w tym przeglądanie i modyfikowanie informacji konfiguracyjnych.

CVE-2025-12686
Krytyczne

W podatności CVE-2025-12686 występuje błąd przepełnienia bufora w AdminCenter systemu operacyjnego Synology BeeStation przed wersją 1.3.2-65648. Umożliwia on zdalnym atakującym wykonanie dowolnego kodu poprzez nieokreślone wektory.

CVE-2026-8760
Krytyczne

Wtyczka Logowanie z OTP dla WordPressa jest podatna na obejście uwierzytelniania we wszystkich wersjach do 1.6 włącznie. Problem wynika z niekompletnej poprawki dla CVE-2024-11178, co umożliwia atakującym brute-force na 6-cyfrowy OTP bez limitu czasowego.

CVE-2026-8450
KrytyczneEPSS 65%

Podatność w bibliotece HTTP::Daemon dla Perla przed wersją 6.17 umożliwia wstrzyknięcie poleceń systemowych przez funkcję send_file(). Funkcja ta otwiera argumenty za pomocą dwuargumentowej formy open(), która interpretuje prefiksy takie jak '| cmd' jako potok do podprocesu, co pozwala atakującemu na wykonanie dowolnych poleceń.

CVE-2026-44985
Krytyczne

Dozzle to narzędzie do podglądu logów w czasie rzeczywistym dla kontenerów Docker. W wersjach przed 10.5.2, mechanizm aktualizacji WebSocket dla punktów końcowych /exec i /attach akceptował żądania z dowolnego źródła, co prowadziło do możliwości przejęcia WebSocketów (CSWSH) przy użyciu ważnych ciasteczek JWT.

CVE-2026-44895
Krytyczne

Serwer GitLab MCP pozwala agentowi AI na bezpośrednią komunikację z GitLabem. W wersjach przed 0.6.0 transport HTTP nie zawierał warstwy uwierzytelniającej oraz miał wildcard Access-Control-Allow-Origin: * w każdej odpowiedzi, co stwarzało poważne luki w zabezpieczeniach.

CVE-2026-44451
Krytyczne

Lumiverse to aplikacja czatu AI, która przed wersją 0.9.7 miała system nadpisywania komponentów, który mógł być obejściem. Użytkownicy mogli dostarczać kod TSX, który był przetwarzany i mógł uzyskać dostęp do niebezpiecznych globalnych obiektów, takich jak fetch czy window.

CVE-2026-44450
Krytyczne

Lumiverse to aplikacja czatu AI, która przed wersją 0.9.7 miała lukę w punkcie końcowym tworzenia serwera MCP. Polecenie było walidowane, ale argumenty przekazywane do procesu podrzędnego nie były weryfikowane, co umożliwiało zalogowanym użytkownikom wykonywanie dowolnego kodu na poziomie systemu operacyjnego.

CVE-2026-44449
Krytyczne

W aplikacji Lumiverse przed wersją 0.9.7 występuje podatność, która pozwala na wykonanie dowolnych poleceń na serwerze Lumiverse. Problem wynika z braku walidacji w metodzie toSmbPath, co umożliwia wstrzyknięcie złośliwych komend przez nieodpowiednio sformatowaną nazwę pliku.

CVE-2026-44444
Krytyczne

Lumiverse to aplikacja czatu AI, która przed wersją 0.9.7 miała lukę w rozszerzeniu Spindle. Wykonywanie polecenia 'bun install' bez flagi --ignore-scripts umożliwia złośliwym rozszerzeniom uruchomienie kodu na poziomie hosta w momencie instalacji przez administratora.

CVE-2026-48689
Krytyczne

FastNetMon Community Edition do wersji 1.2.9 zawiera błąd przepełnienia bufora w klasie dynamic_binary_buffer_t, który pozwala na zapisanie jednego bajta poza końcem bufora. Błąd ten występuje w pięciu metodach, które nieprawidłowo sprawdzają granice bufora.

CVE-2026-3660
Krytyczne

IBM Engineering Lifecycle Management w wersjach 7.0.3, 7.1.0 i 7.2.0 może umożliwić nieautoryzowanemu zdalnemu atakującemu aktualizację plików konfiguracyjnych serwera, co pozwala na uzyskanie nieautoryzowanego dostępu do aplikacji.

CVE-2026-9170
Krytyczne

Serwer HTTP IBM w wersjach 8.5 i 9.0 jest podatny na atak typu denial of service oraz potencjalne zdalne wykonanie kodu z powodu niewłaściwej walidacji danych wejściowych.

CVE-2026-8633
Krytyczne

Wtyczki serwera WWW dla IBM WebSphere Application Server i WebSphere Liberty w wersjach 8.5 i 9.0 są podatne na zdalne wykonanie kodu poprzez specjalnie przygotowane żądanie.

CVE-2026-7251
Krytyczne

Eppendorf BioFlo 320 jest podatny na atak z powodu serwera VNC używającego twardo zakodowanego hasła. Zdalny atakujący, znając adres sieciowy dowolnego modelu BioFlo 320 z włączonym zdalnym dostępem, może uzyskać pełną kontrolę nad interfejsem użytkownika, wykorzystując to hasło.

CVE-2026-47202
Krytyczne

Kavita to serwer do czytania działający na różnych platformach. W wersjach przed 0.9.0.2 występowała luka związana z niewłaściwą walidacją tokenów, która pozwalała zdalnemu, nieautoryzowanemu atakującemu na żądanie JWT dla dowolnego użytkownika, w tym administratorów, znając ich nazwę użytkownika.

CVE-2026-46624
Krytyczne

W systemie CRM Twenty, w wersjach od 1.7.7 do 1.16.7, występuje krytyczna podatność na zdalne wykonanie kodu (RCE) poprzez połączoną injekcję SQL oraz atak PostgreSQL COPY TO PROGRAM. Użytkownik z uprawnieniami superużytkownika w PostgreSQL może umożliwić dowolnemu uwierzytelnionemu użytkownikowi wykonanie arbitralnych poleceń systemowych na serwerze bazy danych.

CVE-2026-44668
Krytyczne

FACTION to framework do generowania raportów z testów penetracyjnych. W wersjach przed 1.8.3, AccessControlInterceptor nie sprawdzał ważności sesji, co umożliwiało nieautoryzowanym atakującym dostęp do szablonów w systemie.

CVE-2026-48904
Krytyczne

Nieprawidłowa kontrola dostępu umożliwia eskalację uprawnień poprzez edytowanie punktu końcowego usługi internetowej grupy com_users.

PoprzedniaStrona 64 z 557Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS