Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-32253
Krytyczne

W wersjach przed 2026.516.143833 Sunshine, host do strumieniowania gier, ma lukę w autoryzacji certyfikatów klienckich, która może być obejściem z powodu nieprawidłowego przetwarzania wyników weryfikacji OpenSSL. W wyniku tego, nieufny certyfikat może przejść autoryzację i uzyskać dostęp do chronionych punktów końcowych HTTPS.

CVE-2026-39821
Krytyczne

Funkcje ToASCII i ToUnicode w pakiecie idna błędnie akceptują zakodowane w Punycode etykiety, które dekodują się do nazwy zawierającej tylko znaki ASCII. Na przykład ToUnicode("xn--example-.com") zwraca "example.com" zamiast błędu.

CVE-2026-8670
Krytyczne

W systemie syslink software AG Avantra na platformach Linux i Windows występuje luka związana z niewystarczającym wygasaniem sesji, co pozwala na ponowne wykorzystanie identyfikatorów sesji (tzw. Session Replay). Problem ten dotyczy wersji Avantra przed 25.3.1.

CVE-2026-44930
Krytyczne

Podatność polegająca na wstrzykiwaniu zapytań LDAP w repozytorium certyfikatów LDAP serwera XKMS w Apache CXF. Umożliwia atakującemu pobranie dowolnych certyfikatów z repozytorium.

CVE-2026-9054
Krytyczne

Atakujący wysyłający pakiety tcp, il, rudp lub gre o długości mniejszej niż rozmiar nagłówka może spowodować panikę jądra.

CVE-2026-46595
Krytyczne

Podatność CVE-2026-46595 dotyczy pominięcia walidacji adresu źródłowego w serwerze SSH, gdy używane są konfiguracje z callbackami innymi niż klucz publiczny. Poprawka z CVE-2024-45337 okazała się niewystarczająca, co umożliwia atakującemu ominięcie autoryzacji.

CVE-2026-42508
Krytyczne

Podatność w systemie zarządzania kluczami powoduje, że odwołany 'SignatureKey' należący do urzędu certyfikacji (CA) nie był poprawnie sprawdzany pod kątem unieważnienia. Obecnie zarówno 'key', jak i 'key.SignatureKey' są weryfikowane pod kątem @revoked.

CVE-2026-39834
Krytyczne

Podatność CVE-2026-39834 dotyczy błędu przepełnienia całkowitego, który występuje podczas zapisywania danych większych niż 4GB w pojedynczym wywołaniu Write na kanale SSH. Błąd ten powoduje, że pętla zapisu kręci się w nieskończoność, wysyłając puste pakiety bez postępu.

CVE-2026-39833
Krytyczne

W pamięci kluczowej, zwracanej przez NewKeyring(), klucze z ograniczeniem ConfirmBeforeUse były akceptowane, ale nigdy nie były egzekwowane. Klucz mógł podpisywać bez żadnego potwierdzenia, co nie informowało wywołującego, że ograniczenie nie miało zastosowania.

CVE-2026-39832
Krytyczne

Podatność w OpenSSH powoduje, że podczas dodawania klucza do zdalnego agenta rozszerzenia ograniczeń, takie jak [email protected], nie były serializowane w żądaniu. Ograniczenia docelowe były po cichu usuwane podczas przekazywania kluczy, co umożliwiało nieograniczone użycie klucza na zdalnym hoście.

CVE-2026-39831
Krytyczne

Metoda Verify() dla typów kluczy bezpieczeństwa FIDO/U2F nie sprawdzała flagi obecności użytkownika. Podpisy generowane bez fizycznego dotyku były akceptowane, co umożliwiało nieautoryzowane użycie klucza bezpieczeństwa.

CVE-2026-39830
Krytyczne

Złośliwy klient SSH może wysyłać niechciane odpowiedzi na żądania globalne, wypełniając wewnętrzny bufor i blokując pętlę odczytu połączenia. Zablokowana gorutyna nie może zostać zwolniona przez wywołanie Close(), co prowadzi do wycieku zasobów na każde połączenie. Obecnie niechciane odpowiedzi globalne są odrzucane.

CVE-2026-9264
Krytyczne

W podatności XSS w funkcji Dynamic Components programu SketchUp 2026, atakujący może zdalnie wykonywać kod oraz wykradać lokalne pliki poprzez złośliwie przygotowane pliki SKP. Problem wynika z niewłaściwej sanitizacji danych wejściowych w oknie opcji komponentu.

CVE-2026-34910
KrytyczneAktywnie exploitowaneEPSS 100%

W urządzeniach UniFi OS występuje podatność na niewłaściwą walidację danych wejściowych, która może być wykorzystana przez złośliwego aktora z dostępem do sieci do wykonania ataku typu Command Injection.

CVE-2026-34909
KrytyczneAktywnie exploitowaneEPSS 76%

W urządzeniach UniFi OS występuje podatność typu Path Traversal, która może być wykorzystana przez złośliwego aktora z dostępem do sieci. Umożliwia to dostęp do plików w systemie, co może prowadzić do manipulacji kontem użytkownika.

CVE-2026-34908
KrytyczneAktywnie exploitowaneEPSS 79%

W urządzeniach UniFi OS występuje podatność na niewłaściwą kontrolę dostępu, która może być wykorzystana przez złośliwego aktora z dostępem do sieci do dokonania nieautoryzowanych zmian w systemie.

CVE-2026-33000
KrytyczneEPSS 62%

W urządzeniach UniFi OS występuje podatność na niewłaściwą walidację danych wejściowych, która może być wykorzystana przez złośliwego aktora z dostępem do sieci i wysokimi uprawnieniami do wykonania ataku typu Command Injection.

CVE-2026-6960
Krytyczne

Wtyczka BookingPress Pro dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji 'bookingpress_validate_submitted_booking_form_func' we wszystkich wersjach do 5.6 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.

CVE-2026-48207
Krytyczne

W Apache Fory występuje podatność związana z deserializacją nieufnych danych w ReduceSerializer, która może obejść walidację DeserializationPolicy podczas przywracania stanu redukcji i rozwiązywania nazw globalnych. Aplikacja jest narażona, jeśli deserializuje dane kontrolowane przez atakującego w trybie natywnym PyFory z wyłączonym trybem ścisłym.

CVE-2026-39531
Krytyczne

W podatności CVE-2026-39531 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w WP Directory Kit.

PoprzedniaStrona 68 z 558Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS