Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
System zarządzania apteką LalanaChami (commit 5c3d028) umożliwia nieautoryzowanym atakującym zdalne podniesienie uprawnień poprzez samodzielne przypisanie roli administratora podczas rejestracji. Punkt końcowy /api/user/signup nie weryfikuje parametru roli w ciele żądania.
W wersji 0.1.13 biblioteki scalar/astro odkryto podatność typu Server-Side Request Forgery (SSRF) w parametrze zapytania scalar_url punktu końcowego Scalar Proxy. Umożliwia to nieautoryzowanym atakującym wymuszenie na serwerze backendowym wysyłania żądań HTTP do kontrolowanych przez atakującego adresów URL.
W wersji 0.1.13 biblioteki scalar/astro odkryto podatność na nieautoryzowane przesyłanie plików w parametrze zapytania scalar_url punktu końcowego Scalar Proxy. Umożliwia to atakującym wykonanie dowolnego kodu poprzez przesłanie spreparowanego pliku SVG.
Tyler Identity Local (TID-L) używa udokumentowanych, domyślnych danych uwierzytelniających dla administratorów. Użytkownicy nie są zobowiązani do zmiany tych danych przed wdrożeniem.
Krytyczna podatność zdalnego wykonania kodu (RCE) w mechanizmie renderowania szablonów serwera Glassfish. Aplikacja przetwarza pliki .xml i ocenia wyrażenia EL bez odpowiedniej sanityzacji, co pozwala atakującemu na zdalne przejęcie kontroli nad hostem.
W aplikacji GlassFish Administration Console wykryto podatność umożliwiającą zdalne wykonanie kodu (RCE) przez uwierzytelnionego użytkownika. Osoba z dostępem do panelu może wysłać spreparowane żądania, które pozwalają na wykonanie dowolnych poleceń systemu operacyjnego z uprawnieniami użytkownika usługi.
Podatność CVE-2026-8959 dotyczy błędu w warunkach granicznych w komponencie Widget: Win32, co umożliwia ucieczkę z piaskownicy. Została naprawiona w wersjach Firefox 151, Firefox ESR 140.11, Thunderbird 151 oraz Thunderbird 140.11.
Przepełnienie całkowitej liczby w komponencie sieciowym JAR. Ta podatność została naprawiona w Firefox 151, Firefox ESR 140.11, Thunderbird 151 oraz Thunderbird 140.11.
Podatność typu 'sandbox escape' występuje z powodu błędu 'use-after-free' w komponencie API dostępu dla osób z niepełnosprawnościami. Została naprawiona w wersjach Firefox 151, Firefox ESR 115.36, Firefox ESR 140.11, Thunderbird 151 oraz Thunderbird 140.11.
Podatność umożliwiająca obejście polityki tego samego pochodzenia w komponencie Networking: HTTP. Została naprawiona w Firefox 151, Firefox ESR 140.11, Thunderbird 151 oraz Thunderbird 140.11.
Podatność w komponencie DOM: Networking umożliwia obejście polityki same-origin. Luka została naprawiona w przeglądarce Firefox 151 i kliencie poczty Thunderbird 151.
Podatność w Apache Camel dotyczy braku filtrowania przychodzących nagłówków w implementacjach CXF i Knative. Niezautoryzowany atakujący może wstrzyknąć wewnętrzne nagłówki Camel (np. CamelExecCommandExecutable, CamelFileName) przez żądania HTTP do punktów końcowych CXF-RS lub CXF-SOAP, co przy przekazywaniu wiadomości do komponentów sterowanych nagłówkami (np. camel-exec, camel-file) umożliwia zdalne wykonanie kodu lub zapis dowolnych plików.
Wersje HestiaCP od 1.9.0 do 1.9.4 zawierają podatność na deserializację w komponencie terminala webowego, spowodowaną niezgodnością formatu sesji między PHP a Node.js. Umożliwia to nieautoryzowanym atakującym zdalne wykonanie kodu na poziomie root.
Wtyczka Piotnet Forms dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji 'piotnetforms_ajax_form_builder' w wersjach do 2.1.40 włącznie. Wtyczka używa niekompletnej czarnej listy rozszerzeń, co pozwala na przesyłanie niebezpiecznych plików.
W jądrze Linuxa wykryto podatność w module pcrypt, która nieprawidłowo obsługuje żądania z flagą MAY_BACKLOG. Żądania te mogą zwracać kod błędu EBUSY, co wymaga odpowiedniego sprawdzenia i odfiltrowania powiadomień EINPROGRESS.
Rozszerzenie przekazuje ciasteczko kontrolowane przez atakującego bezpiecznie przetwarzając dane do funkcji PHP unserialize(). Zdalny, nieautoryzowany atakujący może dostarczyć spreparowany ładunek, co prowadzi do wstrzyknięcia obiektów PHP i zdalnego wykonania kodu na serwerze TYPO3.
W podatności CVE-2026-45434 w Apache OFBiz występuje błąd w logice zmiany hasła, który może prowadzić do zdalnego wykonania kodu. Problem dotyczy wersji przed 24.09.06.
W podatności CVE-2026-41919 występuje niewłaściwa neutralizacja specjalnych elementów używanych w zapytaniach LDAP, co prowadzi do podatności na ataki typu LDAP Injection w Apache OFBiz.
Podatność związana z użyciem zakodowanego klucza kryptograficznego w Apache OFBiz. Problem dotyczy wersji przed 24.09.06.
W MLflow w wersji 3.9.0 funkcja Asystenta MLflow wprowadziła nieprawidłową walidację pochodzenia żądań w endpointach /ajax-api. Luka umożliwia zdalnemu atakującemu wykorzystanie żądań międzyoriginowych ze złośliwej strony internetowej do interakcji z Asystentem MLflow działającym na lokalnym komputerze ofiary.

