Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-56310
Średnie

Cap-go przed wersją 12.128.2 zawiera lukę w autoryzacji w punkcie końcowym GET /organization/members, która pozwala kluczom API ograniczonym do organizacji na obejście ograniczeń limited_to_orgs. Napastnicy z takimi kluczami mogą uzyskać dostęp do danych członkostwa z organizacji spoza przypisanego zakresu.

CVE-2026-56302
Średnie

Capgo w wersjach przed 12.128.2 zawiera niezabezpieczony zbiornik obrazów, który nie ma żadnych kontroli bezpieczeństwa na poziomie wiersza, co pozwala nieautoryzowanym atakującym na odczyt, wstawianie i usuwanie przechowywanych ikon aplikacji.

CVE-2026-56272
Średnie

Flowise przed wersją 3.0.13 używa bcrypt z domyślną liczbą rund soli wynoszącą 5, co daje tylko 32 iteracje zamiast zalecanego przez OWASP minimum 10 rund. Atakujący mogą złamać hasła około 30 razy szybciej przy użyciu nowoczesnych procesorów graficznych, co w przypadku wycieku bazy danych może zagrozić wszystkim kontom użytkowników.

CVE-2026-56269
Średnie

Flowise przed wersją 3.1.0 (pakiet npm flowise, wersje 3.0.13 i wcześniejsze) używa słabego, zakodowanego na stałe domyślnego hasła 'Secre$t' dla zmiennej środowiskowej TOKEN_HASH_SECRET w pliku packages/server/src/enterprise/utils/tempTokenUtils.ts, gdy zmienna nie jest skonfigurowana. Ten sekret jest używany do wyprowadzania klucza AES-256-CBC, który szyfruje identyfikatory użytkowników i obszarów roboczych w polu 'meta' tokenów JWT. Atakujący znający domyślny sekret może odszyfrować te metadane, aby wydobyć wewnętrzne identyfikatory użytkowników i obszarów roboczych, a następnie ponownie zaszyfrować zmodyfikowane wartości, takie jak zmienione identyfikatory użytkowników lub obszarów roboczych.

CVE-2026-56262
Średnie

Crawl4AI przed wersją 0.8.7 zawiera podatność umożliwiającą ominięcie uwierzytelniania w endpointach monitora routera, co pozwala nieuwierzytelnionym atakującym na dostęp do destrukcyjnych operacji. Zdalni atakujący mogą wywołać endpoint /monitor/actions/cleanup i manipulować stanem monitorowania bez uwierzytelniania, powodując przerwanie działania usługi.

CVE-2026-13163
Średnie

W podatności CVE-2026-13163 występuje luka otwartego przekierowania w funkcji _safe_redirect w punkcie końcowym śledzenia kliknięć w Mailerup przed wersją 1.0.0. Umożliwia to zdalnym, nieautoryzowanym atakującym przekierowanie ofiar na dowolne zewnętrzne strony, co może prowadzić do ataków phishingowych.

CVE-2025-71332
Średnie

Flowise do wersji 2.2.7 zawiera podatność na wstrzykiwanie SQL w API importChatflows. Z powodu niewystarczającej walidacji wartości chatflow.id, uwierzytelniony użytkownik może dostarczyć spreparowany plik JSON, którego pole id jest łączone bez sanityzacji z klauzulą SQL IN, umożliwiając wykonanie dowolnego kodu SQL, w tym ślepe i oparte na błędach wydobycie danych z tabeli credential.

CVE-2026-13150
Średnie

W systemie ccyl13 Pentestify w wersji 1.0.0 i niższych występuje podatność typu Server-Side Request Forgery (SSRF) w punkcie końcowym generowania PDF. Atakujący może wykorzystać tę lukę do wysyłania żądań do dowolnych wewnętrznych lub zewnętrznych adresów URL, co może prowadzić do ujawnienia wrażliwych danych.

CVE-2026-11968
Średnie

W TortoiseGitBlame występuje podatność na wstrzykiwanie argumentów, która może być wykorzystana przez złośliwe nazwy plików historii Git. Może to prowadzić do nieautoryzowanego zapisu plików w TortoiseGit.

CVE-2026-52930
Średnie

W jądrze Linux wykryto podatność w mechanizmie IPC SHM, gdzie funkcja shm_destroy_orphaned() nie synchronizuje poprawnie dostępu do pola shm_nattch. Brak odpowiedniego blokowania może prowadzić do wyścigu (race condition) podczas usuwania nieużywanych segmentów pamięci współdzielonej.

CVE-2026-52928
Średnie

W jądrze Linuxa wykryto podatność w implementacji gniazd AF_UNIX. Funkcja SIOCATMARK, która informuje o pozycji znacznika pilnych danych (MSG_OOB), była dostępna dla wszystkich typów gniazd, mimo że MSG_OOB jest obsługiwane tylko dla SOCK_STREAM. Dla gniazd SOCK_DGRAM i SOCK_SEQPACKET zwracany jest teraz błąd -EOPNOTSUPP.

CVE-2026-52926
Średnie

W jądrze Linux w module batman-adv wykryto podatność polegającą na nieczyszczeniu wskaźnika do aktualnie wybranej bramy (gateway) podczas zamykania siatki mesh. Powoduje to pozostawienie nieaktualnego stanu bramy, co może zakłócić późniejsze ponowne utworzenie siatki.

CVE-2026-52925
Średnie

W jądrze Linux wykryto podatność w mechanizmie VRF (Virtual Routing and Forwarding). Brak synchronizacji RCU podczas usuwania portu z VRF może prowadzić do wyścigu, w którym czytelnik RCU widzi nowe urządzenie nadrzędne (np. most) bez operacji l3mdev, co skutkuje dereferencją wskaźnika NULL (NPD).

CVE-2026-52921
Średnie

W jądrze Linuxa w podsystemie netfilter/ipset znaleziono podatność w kilku wariantach hash:*. Iterator 32-bitowy używany do przeglądania zakresów adresów IPv4 może po zakończeniu zakresu przesunąć stan przejścia poza żądany obszar, co przy ponownej próbie może prowadzić do kontynuacji z nieprzewidzianej pozycji.

CVE-2026-52916
Średnie

W jądrze Linux w module batman-adv wykryto podatność polegającą na możliwości rekurencyjnego przetwarzania fragmentów pakietów BATADV_UNICAST_FRAG. Złośliwy nadawca może wysłać pakiet, którego złożona treść sama jest pakietem BATADV_UNICAST_FRAG, co prowadzi do nieograniczonej rekurencji i wyczerpania stosu jądra.

CVE-2026-52913
Średnie

W jądrze Linux w module batman-adv (B.A.T.M.A.N. Advanced) wykryto podatność na dereferencję wskaźnika NULL. Gdy interfejs sieciowy jest wyłączany, wskaźnik do struktury mesh_iface jest zerowany, ale funkcja batadv_v_ogm_send_meshif() może nadal wysyłać pakiety OGMv2 przez wyłączony interfejs, co prowadzi do próby odczytu z adresu NULL i awarii systemu.

CVE-2026-9724
Średnie

Wtyczka MotorDesk dla WordPressa jest podatna na atak typu Cross-Site Request Forgery we wszystkich wersjach do i włącznie z 1.1.2. Problem wynika z braku lub nieprawidłowej walidacji nonce w funkcji motordesk_admin_home.

CVE-2026-9721
Średnie

Wtyczka Book a Room Event Calendar dla WordPress jest podatna na atak Cross-Site Request Forgery (CSRF) we wszystkich wersjach do 1.9 włącznie. Problem wynika z braku lub nieprawidłowej walidacji nonce w funkcjonalności settings_form()/update_settings().

CVE-2026-9620
Średnie

Wtyczka WP Latest Posts dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez spreparowane atrybuty src obrazów w treści postów w wersjach do 5.0.11 włącznie. Problem wynika z niewystarczającego zabezpieczenia wyjścia w funkcjach field() i loop().

CVE-2026-9619
Średnie

Wtyczka Reviews and Rating – Docplanner dla WordPressa jest podatna na obejście autoryzacji we wszystkich wersjach do 1.1.4 włącznie. Problem wynika z niewłaściwej weryfikacji uprawnień użytkownika do wykonywania określonych działań.

PoprzedniaStrona 76 z 548Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS