Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-31070
Krytyczne

System zarządzania apteką LalanaChami (commit 5c3d028) umożliwia nieautoryzowanym atakującym zdalne podniesienie uprawnień poprzez samodzielne przypisanie roli administratora podczas rejestracji. Punkt końcowy /api/user/signup nie weryfikuje parametru roli w ciele żądania.

CVE-2026-30118
Krytyczne

W wersji 0.1.13 biblioteki scalar/astro odkryto podatność typu Server-Side Request Forgery (SSRF) w parametrze zapytania scalar_url punktu końcowego Scalar Proxy. Umożliwia to nieautoryzowanym atakującym wymuszenie na serwerze backendowym wysyłania żądań HTTP do kontrolowanych przez atakującego adresów URL.

CVE-2026-30117
Krytyczne

W wersji 0.1.13 biblioteki scalar/astro odkryto podatność na nieautoryzowane przesyłanie plików w parametrze zapytania scalar_url punktu końcowego Scalar Proxy. Umożliwia to atakującym wykonanie dowolnego kodu poprzez przesłanie spreparowanego pliku SVG.

CVE-2026-44159
Krytyczne

Tyler Identity Local (TID-L) używa udokumentowanych, domyślnych danych uwierzytelniających dla administratorów. Użytkownicy nie są zobowiązani do zmiany tych danych przed wdrożeniem.

CVE-2026-2587
Krytyczne

Krytyczna podatność zdalnego wykonania kodu (RCE) w mechanizmie renderowania szablonów serwera Glassfish. Aplikacja przetwarza pliki .xml i ocenia wyrażenia EL bez odpowiedniej sanityzacji, co pozwala atakującemu na zdalne przejęcie kontroli nad hostem.

CVE-2026-2586
KrytyczneEPSS 53%

W aplikacji GlassFish Administration Console wykryto podatność umożliwiającą zdalne wykonanie kodu (RCE) przez uwierzytelnionego użytkownika. Osoba z dostępem do panelu może wysłać spreparowane żądania, które pozwalają na wykonanie dowolnych poleceń systemu operacyjnego z uprawnieniami użytkownika usługi.

CVE-2026-8959
Krytyczne

Podatność CVE-2026-8959 dotyczy błędu w warunkach granicznych w komponencie Widget: Win32, co umożliwia ucieczkę z piaskownicy. Została naprawiona w wersjach Firefox 151, Firefox ESR 140.11, Thunderbird 151 oraz Thunderbird 140.11.

CVE-2026-8956
Krytyczne

Przepełnienie całkowitej liczby w komponencie sieciowym JAR. Ta podatność została naprawiona w Firefox 151, Firefox ESR 140.11, Thunderbird 151 oraz Thunderbird 140.11.

CVE-2026-8953
Krytyczne

Podatność typu 'sandbox escape' występuje z powodu błędu 'use-after-free' w komponencie API dostępu dla osób z niepełnosprawnościami. Została naprawiona w wersjach Firefox 151, Firefox ESR 115.36, Firefox ESR 140.11, Thunderbird 151 oraz Thunderbird 140.11.

CVE-2026-8950
Krytyczne

Podatność umożliwiająca obejście polityki tego samego pochodzenia w komponencie Networking: HTTP. Została naprawiona w Firefox 151, Firefox ESR 140.11, Thunderbird 151 oraz Thunderbird 140.11.

CVE-2026-8948
Krytyczne

Podatność w komponencie DOM: Networking umożliwia obejście polityki same-origin. Luka została naprawiona w przeglądarce Firefox 151 i kliencie poczty Thunderbird 151.

CVE-2026-47323
KrytyczneEPSS 70%

Podatność w Apache Camel dotyczy braku filtrowania przychodzących nagłówków w implementacjach CXF i Knative. Niezautoryzowany atakujący może wstrzyknąć wewnętrzne nagłówki Camel (np. CamelExecCommandExecutable, CamelFileName) przez żądania HTTP do punktów końcowych CXF-RS lub CXF-SOAP, co przy przekazywaniu wiadomości do komponentów sterowanych nagłówkami (np. camel-exec, camel-file) umożliwia zdalne wykonanie kodu lub zapis dowolnych plików.

CVE-2026-43633
Krytyczne

Wersje HestiaCP od 1.9.0 do 1.9.4 zawierają podatność na deserializację w komponencie terminala webowego, spowodowaną niezgodnością formatu sesji między PHP a Node.js. Umożliwia to nieautoryzowanym atakującym zdalne wykonanie kodu na poziomie root.

CVE-2026-4883
Krytyczne

Wtyczka Piotnet Forms dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji 'piotnetforms_ajax_form_builder' w wersjach do 2.1.40 włącznie. Wtyczka używa niekompletnej czarnej listy rozszerzeń, co pozwala na przesyłanie niebezpiecznych plików.

CVE-2026-43493
Krytyczne

W jądrze Linuxa wykryto podatność w module pcrypt, która nieprawidłowo obsługuje żądania z flagą MAY_BACKLOG. Żądania te mogą zwracać kod błędu EBUSY, co wymaga odpowiedniego sprawdzenia i odfiltrowania powiadomień EINPROGRESS.

CVE-2026-46725
Krytyczne

Rozszerzenie przekazuje ciasteczko kontrolowane przez atakującego bezpiecznie przetwarzając dane do funkcji PHP unserialize(). Zdalny, nieautoryzowany atakujący może dostarczyć spreparowany ładunek, co prowadzi do wstrzyknięcia obiektów PHP i zdalnego wykonania kodu na serwerze TYPO3.

CVE-2026-45434
Krytyczne

W podatności CVE-2026-45434 w Apache OFBiz występuje błąd w logice zmiany hasła, który może prowadzić do zdalnego wykonania kodu. Problem dotyczy wersji przed 24.09.06.

CVE-2026-41919
Krytyczne

W podatności CVE-2026-41919 występuje niewłaściwa neutralizacja specjalnych elementów używanych w zapytaniach LDAP, co prowadzi do podatności na ataki typu LDAP Injection w Apache OFBiz.

CVE-2026-31986
Krytyczne

Podatność związana z użyciem zakodowanego klucza kryptograficznego w Apache OFBiz. Problem dotyczy wersji przed 24.09.06.

CVE-2026-2611
Krytyczne

W MLflow w wersji 3.9.0 funkcja Asystenta MLflow wprowadziła nieprawidłową walidację pochodzenia żądań w endpointach /ajax-api. Luka umożliwia zdalnemu atakującemu wykorzystanie żądań międzyoriginowych ze złośliwej strony internetowej do interakcji z Asystentem MLflow działającym na lokalnym komputerze ofiary.

PoprzedniaStrona 71 z 558Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS