Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-14604
Średnie

W bibliotece Open Asset Import Library Assimp do wersji 6.0.4 wykryto podatność w funkcji Assimp::Exporter::ExportToBlob w pliku code/AssetLib/Ply/PlyLoader.cpp. Manipulacja w obsłudze modeli PLY prowadzi do podwójnego zwolnienia pamięci (double free). Atak może być przeprowadzony zdalnie, a exploit został publicznie ujawniony.

CVE-2026-14631
Średnie

Podatność w webpack-dev-server w wersjach 5.2.5 i wcześniejszych powoduje zakończenie procesu Node.js po otrzymaniu od nieuwierzytelnionego peera żądania HTTP z nieprawidłowym nagłówkiem Host lub żądania WebSocket z nieprawidłowym nagłówkiem Origin. Nieprawidłowa wartość wywołuje nieobsłużony wyjątek w walidacji hosta i powoduje awarię serwera deweloperskiego.

CVE-2026-14620
Średnie

Podatność w webpack-dev-server w wersjach do 5.2.5 włącznie ujawnia dwa wewnętrzne endpointy deweloperskie, które wykonują zmiany stanu na każdym żądaniu GET bez weryfikacji pochodzenia żądania. Każda strona internetowa odwiedzona przez dewelopera podczas działania serwera może wywołać te endpointy między domenami bez żadnej interakcji poza samą wizytą.

CVE-2026-14615
Średnie

W implementacji Fine-Grained Admin Permissions (FGAP) v2 w Keycloak wykryto lukę, która powoduje nieprawidłowe filtrowanie grup podrzędnych na podstawie uprawnień wywołującego. Delegowany administrator może uzyskać wgląd w szczegóły grup podrzędnych, do których nie ma bezpośredniego dostępu, w tym nazwy, ścieżki i atrybuty niestandardowe.

CVE-2026-14614
Średnie

W Keycloak, w komponencie ClientResource usług administracyjnych, po włączeniu FGAP v2, delegowany administrator może dodawać lub usuwać ukryte zakresy klientów, do których nie ma uprawnień. Pozwala to na wstrzyknięcie nieautoryzowanych danych lub uprawnień do tokenów bezpieczeństwa użytkowników końcowych.

CVE-2026-14613
Średnie

W interfejsie administracyjnym Keycloak wykryto podatność, która umożliwia administratorom z ograniczonymi uprawnieniami podgląd informacji o grupach, do których nie powinni mieć dostępu. Gdy włączone są nowe szczegółowe uprawnienia administracyjne (FGAP v2), administrator widzący konkretną rolę może również zobaczyć listę wszystkich grup przypisanych do tej roli, bez weryfikacji uprawnień do tych grup.

CVE-2026-14612
Średnie

W demonie ipa-otpd w FreeIPA wykryto dwa błędy off-by-one w obsłudze autoryzacji OAuth2, które mogą prowadzić do odczytu lub zapisu poza granicami bufora podczas przetwarzania zbyt dużego odpowiedzi od zewnętrznego dostawcy tożsamości OAuth2/OIDC. Atakujący kontrolujący dostawcę lub przeprowadzający atak typu man-in-the-middle może wykorzystać tę podatność do uzyskania dostępu do pamięci poza buforem.

CVE-2026-53478
Wysokie

Produkt Dell PowerProtect Data Domain w wielu wersjach zawiera podatność na wstrzykiwanie poleceń systemu operacyjnego. Wysoko uprzywilejowany atakujący z dostępem zdalnym może wykorzystać tę lukę do wykonania dowolnych poleceń.

CVE-2026-49815
Wysokie

Produkt Dell PowerProtect Data Domain w wielu wersjach zawiera podatność na wstrzykiwanie poleceń systemu operacyjnego. Wysoko uprzywilejowany atakujący z dostępem zdalnym może wykorzystać tę lukę do wykonania dowolnych poleceń systemowych.

CVE-2026-49814
Wysokie

Produkt Dell PowerProtect Data Domain w wielu wersjach zawiera podatność na wstrzykiwanie poleceń systemu operacyjnego. Wysoko uprzywilejowany atakujący z dostępem zdalnym może wykorzystać tę lukę do wykonania dowolnych poleceń.

CVE-2026-49813
Średnie

Produkt Dell PowerProtect Data Domain w wielu wersjach zawiera podatność na wstrzykiwanie poleceń systemu operacyjnego. Wysoko uprzywilejowany atakujący z dostępem lokalnym może wykorzystać tę lukę do wykonania dowolnych poleceń.

CVE-2026-14460
Wysokie

Brak autoryzacji w oprogramowaniu pardus-software od TUBITAK BILGEM umożliwia wstrzyknięcie argumentów. Podatność dotyczy wersji 1.0.4 i wcześniejszych, a została naprawiona w wersji 1.0.5.

CVE-2026-14459
Wysokie

Podatność w oprogramowaniu pardus-software firmy TUBITAK BILGEM umożliwia wstrzykiwanie argumentów do poleceń. Problem występuje w wersjach do 1.0.4 włącznie, a został naprawiony w wersji 1.0.5.

CVE-2026-46466
Niskie

Podatność w Dell PowerProtect Data Domain polega na użyciu mniej zaufanego źródła. Umożliwia ona atakującemu z wysokimi uprawnieniami i zdalnym dostępem manipulację informacjami.

CVE-2026-46465
Średnie

Podatność w Dell PowerProtect Data Domain umożliwia atakującemu z wysokimi uprawnieniami i zdalnym dostępem wykorzystanie zewnętrznie kontrolowanego łańcucha formatującego. Może to prowadzić do ujawnienia informacji oraz odmowy usługi.

CVE-2026-46464
Średnie

Produkt Dell PowerProtect Data Domain w wielu wersjach zawiera podatność polegającą na nieprawidłowym rozwiązywaniu dowiązań przed dostępem do pliku. Umożliwia ona atakującemu z wysokimi uprawnieniami i zdalnym dostępem ujawnienie poufnych informacji.

CVE-2026-46463
Średnie

Produkt Dell PowerProtect Data Domain w wielu wersjach zawiera podatność na przepełnienie lub zawinięcie liczby całkowitej. Nieuwierzytelniony atakujący ze zdalnym dostępem może potencjalnie wykorzystać tę lukę, prowadząc do odmowy usługi.

CVE-2026-59234
Średnie

Podatność w Prospero Flow CRM przed wersją 5.5.3 umożliwia uwierzytelnionemu atakującemu usunięcie dowolnych wydarzeń kalendarza innych użytkowników poprzez manipulację parametrem {id} w żądaniu GET do /calendar/event/delete/{id}. Brak kontroli własności (user_id/company_id) przed usunięciem pozwala na nieautoryzowane niszczenie danych.

CVE-2026-56085
Niskie

Podatność w Dell PowerProtect Data Domain polega na użyciu niezainicjowanego zasobu. Niskouprzywilejowany atakujący z lokalnym dostępem może wykorzystać ten błąd, prowadząc do ujawnienia informacji.

CVE-2026-56015
Nieznane

W bibliotece Net::IP::LPM dla Perla w wersjach do 1.10 występuje podatność na odczyt poza dozwolonym obszarem sterty (heap out-of-bounds read) spowodowana brakiem walidacji długości prefiksu w funkcji add(). Atakujący może przekazać nieprawidłową długość prefiksu (np. 255 dla IPv4 lub IPv6), co prowadzi do odczytu danych poza buforem adresu. Problem jest wykrywalny przez narzędzia takie jak AddressSanitizer i może spowodować przerwanie procesu.

PoprzedniaStrona 7 z 4436Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS