Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-47155
Średnie

vLLM to silnik inferencji i serwowania dużych modeli językowych. W wersjach przed 0.22.0, kontrola wersji nie stosuje się konsekwentnie do wszystkich artefaktów ładowanych dla modelu, co może prowadzić do ładowania niezweryfikowanych komponentów.

CVE-2026-56698
Średnie

Wersje Nuxt 4.0.0 przed 4.4.7 oraz 3.x przed 3.21.7 nie walidują URL-i z możliwością skryptów w opcji open metody navigateTo, co pozwala na wykonanie skryptów po stronie klienta. Atakujący mogą dostarczyć URL-e javascript: przez parametr open, co umożliwia wykonanie dowolnych skryptów w kontekście aplikacji.

CVE-2026-56697
Średnie

Wersje Nuxt 4.0.0 przed 4.4.7 oraz 3.x przed 3.21.7 akceptują ścieżki względne do protokołu, takie jak //evil.com, w funkcji reloadNuxtApp. Te ścieżki przechodzą kontrolę protokołu skryptu, ale prowadzą do adresów URL z innego źródła w stosunku do bieżącego protokołu strony.

CVE-2026-56357
Średnie

n8n w wersjach przed 1.123.15 i 2.5.0 zawiera podatność na fałszowanie webhooków w węźle GitHub Webhook Trigger, która nie implementuje weryfikacji podpisu HMAC-SHA256. Atakujący, znając URL webhooka, mogą wysyłać niesigned POST requests, aby uruchomić workflow z dowolnymi danymi, podszywając się pod zdarzenia webhooków GitHub.

CVE-2026-56326
Średnie

Wersje Nuxt 4.0.0 przed 4.4.7 oraz 3.x przed 3.21.7 zawierają podatność na otwarte przekierowanie po stronie serwera w funkcji navigateTo, która nieprawidłowo waliduje znormalizowane ścieżki. Atakujący mogą wykorzystać techniki normalizacji ścieżek, aby przekierować użytkowników na kontrolowane przez siebie strony.

CVE-2026-56321
Średnie

Capgo (backend funkcji edge Supabase) w wersjach przed 12.128.2 nie stosuje globalnego middleware autoryzacji do punktu końcowego GET /private/role_bindings/:org_id, w przeciwieństwie do tras POST i DELETE role_bindings. To pozwala na dotarcie nieautoryzowanych żądań do handlera zamiast ich odrzucenia na poziomie middleware.

CVE-2026-56311
Średnie

Capgo przed wersją 12.128.2 zawiera lukę w autoryzacji w funkcji public.get_current_plan_max_org RPC, która pozwala nieautoryzowanym atakującym na uzyskanie limitów planów organizacji. Atakujący mogą wywołać punkt końcowy RPC z dowolnym UUID organizacji, używając tylko publicznego klucza Supabase, aby ujawnić informacje o rozliczeniach.

CVE-2026-56306
Średnie

Capgo w wersjach przed 12.128.2 zawiera słabą podatność w analizie nagłówka x-limited-key-id, która pozwala atakującym na obejście egzekwowania subkluczy poprzez przesyłanie nieprawidłowych wartości, zerowych lub zduplikowanych nagłówków, co prowadzi do wartości NaN lub fałszywych.

CVE-2026-56255
Średnie

Capgo w wersjach przed 12.128.2 zawiera podatność na odmowę usługi w punkcie końcowym POST /app/demo, która pozwala uwierzytelnionym użytkownikom z uprawnieniami do zapisu w organizacji na tworzenie nieograniczonej liczby aplikacji demo bez ograniczeń prędkości lub egzekwowania kwot.

CVE-2026-56221
Średnie

Cap-go przed wersją 12.128.2 zawiera wiele podatności na wstrzykiwanie SQL w pliku cloudflare.ts, gdzie wartości kontrolowane przez użytkownika z ciał żądań API są interpolowane bezpośrednio do ciągów zapytań SQL bez sanitizacji lub parametryzacji. Użytkownicy z uprawnieniami do odczytu klucza API mogą wstrzykiwać dowolny SQL przez parametry deviceIds, search, version_name, cursor i actions.

CVE-2026-54911
Średnie

Podatność w bibliotece UltraJSON (wersje przed 5.13.0) pozwala na akceptowanie uszkodzonych lub niekompletnych sekwencji UTF-8 podczas kodowania danych za pomocą funkcji ujson.dumps(), ujson.dump() lub ujson.encode() z opcją reject_bytes=False. Zamiast odrzucać błędne dane, biblioteka cicho przekształca je w inne znaki Unicode, co prowadzi do obejścia walidacji wejścia i problemów z integralnością danych.

CVE-2026-48500
Średnie

Filament, zbiór komponentów do przyspieszonego rozwoju w Laravel, ma podatność, która pozwala na przesyłanie plików przez nieautoryzowanych użytkowników w niektórych formularzach, takich jak formularz logowania. To może prowadzić do nieautoryzowanego dostępu do tymczasowego magazynu aplikacji.

CVE-2026-48167
Średnie

Filament to zbiór komponentów do przyspieszonego rozwoju w Laravel. W wersjach od 4.0.0 do 4.11.5 oraz 5.6.5 komponenty ImageColumn i ImageEntry renderują surowe wartości z bazy danych bez odpowiedniego zabezpieczenia HTML, co może prowadzić do ataków XSS.

CVE-2026-48166
Średnie

Filament, zbiór komponentów do przyspieszonego rozwoju w Laravel, ma w wersjach od 4.0.0 do 4.11.5 oraz 5.6.5 lukę na stronie logowania, która umożliwia nieautoryzowanym atakującym enumerację zarejestrowanych adresów e-mail.

CVE-2026-48067
Średnie

W komponentach Filament dla Laravel, metoda recordSelectOptionsQuery() nie stosowała odpowiedniej walidacji dla pól Select w AttachAction i AssociateAction. Umożliwia to użytkownikom manipulację stanem komponentu Livewire i przesyłanie wartości spoza zakresu.

CVE-2026-44889
Średnie

WebOb przed wersją 1.8.10 jest podatny na otwarte przekierowanie z powodu nieprawidłowej normalizacji nagłówka Location podczas przekierowania. Atakujący może wykorzystać znaki ASCII tabulacji, powrotu karetki i nowej linii w celu zmiany interpretacji docelowego adresu URL na protokołowo-względny URL, co prowadzi do przekierowania użytkownika na zewnętrzną, kontrolowaną przez atakującego witrynę. Podatność ta omija poprawkę CVE-2024-42353.

CVE-2026-44311
Średnie

Podatność w bibliotece Fabric.js przed wersją 7.4.0 umożliwia atak XSS przez nieprawidłowe kodowanie danych wejściowych podczas serializacji SVG metodą toSVG(). Pole koloru w tablicy colorStops obiektu fabric.Gradient nie jest odpowiednio zabezpieczone, co pozwala na wstrzyknięcie dowolnego kodu HTML/SVG i wykonanie JavaScript w przeglądarce ofiary.

CVE-2026-55599
Średnie

Podatność SSRF w bibliotece phpseclib umożliwia atakującemu zmuszenie serwera walidującego certyfikat X.509 do nawiązywania połączeń z dowolnymi hostami i portami, w tym wewnętrznymi (np. 127.0.0.1, 169.254.169.254). Problem wynika z domyślnie włączonego pobierania URL z rozszerzenia AIA certyfikatu, bez żadnych ograniczeń docelowych adresów.

CVE-2026-54651
Średnie

pypdf to darmowa i otwartoźródłowa biblioteka PDF napisana w czystym Pythonie. Przed wersją 6.13.1, atakujący mógł wykorzystać tę podatność do stworzenia pliku PDF, który prowadził do nieskończonej pętli.

CVE-2026-54531
Średnie

pypdf to darmowa i otwartoźródłowa biblioteka PDF napisana w czystym Pythonie. Przed wersją 6.13.0, atakujący mógł wykorzystać tę podatność do stworzenia pliku PDF, który prowadził do nieskończonej pętli.

PoprzedniaStrona 73 z 533Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS