Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-45053
Krytyczne

CubeCart przed wersją 6.7.0 zawierał podatność na uwierzytelnione przesyłanie dowolnych plików w punkcie końcowym REST API File Manager. Umożliwia to osobom posiadającym klucz API z uprawnieniami files:rw przesyłanie plików PHP do katalogu images/source/, gdzie są one wykonywane przez serwer WWW.

CVE-2026-44377
Krytyczne

W CubeCart przed wersją 6.7.0 występuje podatność na wstrzyknięcie szablonów po stronie serwera (SSTI) w wielu modułach, w tym w szablonach e-mail i dokumentach. Aplikacja niebezpiecznie ocenia dane wejściowe dostarczone przez użytkownika za pomocą silnika szablonów Smarty.

CVE-2025-27851
Krytyczne

Podatność na Garmin WDU (w wersjach 1.4.6 i 5.0) umożliwia atak typu cross-site origin WebSocket hijacking. Atakujący może przejąć pełną kontrolę nad urządzeniem, wykorzystując WebSockety do zarządzania ustawieniami, w tym ustawieniami administracyjnymi.

CVE-2026-44364
Krytyczne

W wersjach 3.0.7 i wcześniejszych występuje podatność Cross-Site Request Forgery (CSRF) w MISP Modules, która pozwala atakującemu na zmuszenie uwierzytelnionego użytkownika do wysyłania niezamierzonych żądań do punktu końcowego. Problem wynikał z wyłączenia ochrony CSRF dla blueprintu home.

CVE-2026-44351
Krytyczne

W wersjach przed 6.2.4 biblioteka fast-jwt zawiera krytyczną podatność na obejście uwierzytelniania, która pozwala nieautoryzowanym atakującym na fałszowanie dowolnych tokenów JWT uznawanych za autentyczne.

CVE-2026-42032
Krytyczne

CKAN, system zarządzania danymi, miał podatność w datastore_search_sql, która pozwalała atakującym na ominięcie autoryzacji i uzyskanie dostępu do prywatnych zasobów oraz informacji systemowych PostgreSQL. Problem został naprawiony w wersjach 2.10.10 i 2.11.5.

CVE-2026-42031
Krytyczne

CKAN, otwartoźródłowy system zarządzania danymi, miał podatność w datastore_search_sql, która pozwalała atakującym na wstrzykiwanie SQL w celu uzyskania dostępu do prywatnych zasobów oraz informacji systemowych PostgreSQL. Podatność została naprawiona w wersjach 2.10.10 i 2.11.5.

CVE-2026-0257
KrytyczneAktywnie exploitowaneEPSS 98%

W podatności CVE-2026-0257 występują luki w autoryzacji w portalu GlobalProtect oraz bramie oprogramowania PAN-OS® firmy Palo Alto Networks, które umożliwiają atakującemu ominięcie zabezpieczeń i nawiązanie nieautoryzowanego połączenia VPN.

CVE-2026-45411
Krytyczne

W bibliotece vm2 dla Node.js przed wersją 3.11.3 wykryto podatność umożliwiającą przechwycenie wyjątku hosta za pomocą wyrażenia yield* w asynchronicznym generatorze. Zamknięcie generatora funkcją return powoduje oczekiwanie na wartość, a wyjątki w then są przechwytywane przez środowisko uruchomieniowe i przekazywane jako następna wartość do iteratora yield*, co pozwala na ucieczkę z sandboksa i wykonanie dowolnych poleceń na systemie.

CVE-2026-44009
KrytyczneEPSS 52%

Podatność w bibliotece vm2 dla Node.js umożliwia ominięcie sandboksa. Problem został naprawiony w wersji 3.11.2.

CVE-2026-44008
KrytyczneEPSS 54%

Podatność w bibliotece vm2 dla Node.js przed wersją 3.11.2 pozwala na ucieczkę z sandboksa poprzez metodę neutralizeArraySpeciesBatch, która może wywołać getter na prototypie tablicy, udostępniając obiekty z zewnątrz. Atakujący może uzyskać dostęp do obiektów hosta i funkcji Function, co umożliwia wykonanie dowolnych poleceń na systemie.

CVE-2026-44007
KrytyczneEPSS 55%

W vm2 przed wersją 3.11.1, gdy NodeVM jest tworzone z opcją nesting: true, kod w piaskownicy może bezwarunkowo zażądać modułu 'vm2', ignorując konfigurację require zewnętrznej maszyny wirtualnej, w tym require: false. Dzięki dostępowi do vm2, piaskownica może utworzyć nowe NodeVM z nieograniczonymi ustawieniami require i wykonać dowolne polecenia systemowe na hoście.

CVE-2026-44006
KrytyczneEPSS 52%

Podatność w bibliotece vm2 dla Node.js umożliwia atakującemu ominięcie sandboksa i uzyskanie dostępu do dowolnych prototypów obiektów. Problem został naprawiony w wersji 3.11.0.

CVE-2026-44005
KrytyczneEPSS 53%

Podatność w bibliotece vm2 dla Node.js (wersje 3.9.6 do 3.10.5) umożliwia atakującemu JavaScript działającemu w piaskownicy modyfikację prototypów hosta, takich jak Object.prototype, Array.prototype i Function.prototype. Dzieje się tak przez mostek, który udostępnia zmienne proxy dla rzeczywistych prototypów hosta i przekazuje zapisy z piaskownicy do obiektów hosta za pomocą ReflectSet() i ReflectDefineProperty().

CVE-2026-43999
KrytyczneEPSS 58%

Podatność w vm2 przed wersją 3.11.0 pozwala na ominięcie listy dozwolonych modułów wbudowanych NodeVM. Gdy moduł 'builtin' jest dozwolony (nawet przez '*' wildcard), kod w sandboxie może użyć Module._load() do załadowania dowolnego modułu w kontekście hosta, co umożliwia wykonanie kodu zdalnego.

CVE-2026-43997
KrytyczneEPSS 58%

W bibliotece vm2 dla Node.js przed wersją 3.11.0 istnieje podatność umożliwiająca uzyskanie dostępu do obiektu hosta. Atakujący może wykorzystać różne metody, np. za pomocą HostObject.getOwnPropertySymbols, aby uzyskać Symbol(nodejs.util.inspect.custom) i uciec z piaskownicy.

CVE-2026-42557
Krytyczne

Podatność w JupyterLab przed wersją 4.5.7 pozwala na wykonanie dowolnych poleceń JupyterLab poprzez kliknięcie w spreparowany przycisk w komórce HTML. Mechanizm CommandLinker nasłuchuje zdarzeń kliknięcia na całym dokumencie i wykonuje polecenia bez weryfikacji źródła elementu.

CVE-2026-41225
Krytyczne

W iControl REST występuje podatność, która pozwala wysoko uprzywilejowanemu, uwierzytelnionemu atakującemu z co najmniej rolą Menedżera na tworzenie obiektów konfiguracyjnych umożliwiających wykonywanie dowolnych poleceń.

CVE-2020-37168
Krytyczne

Systempay 1.0 zawiera słabą implementację kryptograficzną, która umożliwia atakującym przeprowadzenie ataku brute force na 16-znakowy klucz produkcyjny używany do generowania podpisów płatności. Atakujący mogą wydobywać dane formularza płatności oraz podpisy z żądań POST do punktu końcowego płatności, a następnie używać porównania haszy SHA1 do iteracyjnego testowania kandydatów na klucz, aż odkryją poprawny klucz produkcyjny.

CVE-2026-42062
Krytyczne

Urządzenia punktu dostępu bezprzewodowego ELECOM zawierają podatność na wstrzykiwanie poleceń systemowych w przetwarzaniu parametru nazwy użytkownika. W przypadku przetworzenia odpowiednio skonstruowanego żądania, może zostać wykonane dowolne polecenie systemowe.

PoprzedniaStrona 72 z 553Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS