Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-35018
Wysokie

Routery NetComm NF20MESH działające na oprogramowaniu R6B031 i wcześniejszym zawierają podatność na zdalne wykonanie kodu, która pozwala uwierzytelnionym atakującym na wykonywanie dowolnych poleceń jako root. Wykorzystanie tej podatności polega na wstrzyknięciu metaznaków powłoki do parametru JSON nazwy użytkownika przetwarzanego przez funkcję dalStorage_addUserAccount.

CVE-2026-56784
Wysokie

OpenRemote przed wersją 1.25.0 zawiera podatność typu insecure direct object reference (IDOR) w punkcie końcowym masowego usuwania alarmów, która pozwala uwierzytelnionym użytkownikom na trwałe usuwanie alarmów należących do innych najemców poprzez podanie dowolnych identyfikatorów alarmów.

CVE-2026-56379
WysokieEPSS 64%

Podatność w ImageMagick przed wersjami 7.1.2-15 i 6.9.13-40 umożliwia wstrzykiwanie poleceń w dekoderze SVG. Atakujący mogą stworzyć złośliwe pliki SVG z wstrzykniętymi komendami Magick Vector Graphics, które wykonują się podczas renderowania.

CVE-2026-56322
Wysokie

Capgo w wersjach przed 12.128.2 zawiera podatność na ujawnienie informacji w nieautoryzowanym punkcie końcowym /updates, który rozwiązuje parametr defaultChannel przed nałożeniem ograniczeń prywatności. Umożliwia to atakującym enumerację prywatnych kanałów oraz ujawnienie stanu wersji i konfiguracji.

CVE-2026-56275
Wysokie

Flowise w wersjach przed 3.1.0 zawiera podatność typu server-side request forgery (SSRF) w węźle Execute Flow, która pozwala atakującym na obejście walidacji bezpieczeństwa poprzez podanie adresów intranetowych w polu podstawowego URL. Atakujący mogą inicjować żądania HTTP do adresów wewnętrznych sieci oraz uzyskiwać dostęp do metadanych chmurowych.

CVE-2026-56258
Wysokie

Crawl4AI przed wersją 0.8.8 zawiera podatność na dowolne zapisywanie plików w punktach końcowych zrzutów ekranu i PDF, co pozwala nieautoryzowanym atakującym na zapis plików poza zamierzonym katalogiem.

CVE-2026-56248
Wysokie

Cap-go capgo (capgo-backend) w wersjach przed 12.128.12 zawiera podatność na nieautoryzowane odmowy usługi, wynikającą z polityki bezpieczeństwa na poziomie wiersza (RLS) w tabeli audit_logs, gdy jest dostępna przez API Supabase PostgREST.

CVE-2026-56243
Wysokie

Capgo w wersjach przed 12.128.2 zawiera lukę umożliwiającą obejście zabezpieczeń, w której PostgREST/RLS akceptuje niezaszyfrowane klucze API przez nagłówek capgkey, mimo że włączono enforce_hashed_api_keys. Atakujący mogą ominąć egzekwowanie kluczy haszowanych na poziomie organizacji, wysyłając niezaszyfrowane klucze API bezpośrednio do PostgREST/RLS w celu uzyskania dostępu do chronionych zasobów.

CVE-2026-56225
Wysokie

Capgo przed wersją 12.128.2 zawiera podatność na obejście autoryzacji w swoich handlerach zarządzania kluczami API (get/put/delete/post). Klucze API utworzone w trybie=all, ale ograniczone do jednej aplikacji przez limited_to_apps, są sprawdzane tylko pod kątem limited_to_orgs, co pozwala na manipulację kluczami API należącymi do tego samego konta.

CVE-2026-56222
Wysokie

Capgo przed wersją 12.128.2 zawiera lukę w autoryzacji w POST /private/role_bindings, która nie weryfikuje własności app_id podczas tworzenia powiązań ról w zakresie aplikacji. Atakujący z uprawnieniami administracyjnymi w jednej organizacji może tworzyć powiązania ról, które celują w aplikacje należące do innych organizacji.

CVE-2026-54892
Wysokie

W Plug występuje problem z wydajnością w dekoderze zagnieżdżonych parametrów, który pozwala nieautoryzowanemu zdalnemu atakującemu na wywołanie odmowy usługi. Złożoność algorytmu dekodowania jest kwadratowa w zależności od liczby poziomów zagnieżdżenia, co może prowadzić do zablokowania serwera.

CVE-2026-10711
Wysokie

W CafePlus występuje luka związana z brakiem uwierzytelnienia dla krytycznej funkcji, co pozwala na dostęp do funkcjonalności, która nie jest odpowiednio ograniczona przez listy kontroli dostępu (ACL). Problem dotyczy wersji od 12.05.03 do przed 12.05.04.

CVE-2025-71376
Wysokie

Picklescan w wersjach przed 0.0.29 nie wykrywa złośliwych plików pickle, co pozwala atakującym na osadzenie niewykrytego kodu w tych plikach. Kod ten może wykonywać dowolne polecenia po załadowaniu przez ofiary.

CVE-2025-71370
Wysokie

Picklescan w wersjach przed 0.0.28 nie wykrywa złośliwych wywołań funkcji torch.jit.unsupported_tensor_ops.execWrapper osadzonych w plikach pickle. Atakujący mogą stworzyć złośliwe pliki pickle, które omijają detekcję picklescan i wykonują dowolny kod po załadowaniu przez pickle.load().

CVE-2025-71365
Wysokie

Picklescan w wersjach przed 0.0.33 nie wykrywa złośliwych plików pickle, które wywołują funkcję numpy.f2py.crackfortran.myeval za pomocą metody reduce. Atakujący mogą stworzyć złośliwe pliki pickle, które zawierają dowolny kod, omijają detekcję picklescan i wykonują zdalny kod po załadowaniu.

CVE-2025-71341
Wysokie

Picklescan w wersjach przed 0.0.29 nie wykrywa funkcji profile.Profile.runctx podczas analizy plików pickle, co pozwala atakującym na osadzenie niezauważonego złośliwego kodu. Zdalni atakujący mogą stworzyć złośliwe pliki pickle wykorzystujące profile.Profile.runctx w metodzie reduce, co prowadzi do zdalnego wykonania kodu po załadowaniu pliku pickle.

CVE-2025-71337
Wysokie

Flowise w wersjach przed 3.0.10 (dotknięte wersje 3.0.7 i wcześniejsze) zawiera podatność na niezweryfikowaną zmianę adresu e-mail. Użytkownik z autoryzacją może zmienić adres e-mail konta bez potwierdzenia zmiany na oryginalny adres e-mail lub ponownego wprowadzenia aktualnego hasła.

CVE-2023-54365
Wysokie

Podatność w Traefik przed wersją 2.10.5 i 3.0.0-beta4 umożliwia atak DoS poprzez szybkie tworzenie i anulowanie strumieni HTTP/2 (technika Rapid Reset). Problem wynika z implementacji HTTP/2 w bibliotece standardowej Go.

CVE-2026-10521
Wysokie

Wysokoprawny atakujący zdalnie może uzyskać dostęp do ukrytej metody konfiguracyjnej, która nie powinna być dostępna dla żadnego użytkownika, aby zmodyfikować krytyczne parametry programu.

CVE-2026-8379
Wysokie

Wtyczka Frontend File Manager dla WordPressa do wersji 23.6 nie wymusza poprawnie sprawdzenia nonce w obsłudze pobierania plików, co pozwala nieautoryzowanym atakującym na pobieranie plików przesłanych przez dowolnego użytkownika.

PoprzedniaStrona 66 z 3327Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS