Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-40621
Krytyczne

Urządzenia punktu dostępu bezprzewodowego ELECOM nie wymagają uwierzytelnienia do uzyskania dostępu do niektórych konkretnych adresów URL. Dotknięty produkt może być używany bez uwierzytelnienia.

CVE-2026-41050
Krytyczne

Deployer Helm w Fleet nie zastosował w pełni impersonacji ServiceAccount w dwóch ścieżkach kodu, co pozwalało najemcy z dostępem do git push w repozytorium monitorowanym przez Fleet na odczyt sekretów z dowolnej przestrzeni nazw w każdym docelowym klastrze.

CVE-2026-32661
Krytyczne

W GUARDIANWALL MailSuite i GUARDIANWALL Mail Security Cloud (wersja SaaS) występuje podatność na przepełnienie bufora na stosie. Zdalny atakujący może wysłać specjalnie przygotowane żądanie do usługi webowej produktu, co może prowadzić do wykonania dowolnego kodu, jeśli produkt jest skonfigurowany do uruchamiania pop3wallpasswd z uprawnieniami użytkownika grdnwww.

CVE-2025-11159
Krytyczne

Wszystkie wersje Hitachi Vantara Pentaho Data Integration & Analytics zawierają sterownik JDBC dla baz danych H2, który jest podatny na wykonanie zewnętrznych skryptów podczas tworzenia nowego połączenia przez administratora źródła danych.

CVE-2026-44547
Krytyczne

ChurchCRM to system zarządzania kościołem typu open-source. W wersjach od 7.2.0 do 7.2.2 poprawka dla CVE-2026-4058 jest niekompletna, co pozwala na wykorzystanie tej podatności.

CVE-2026-42288
Krytyczne

ChurchCRM to system zarządzania kościołem typu open-source. W wersjach przed 7.3.2 poprawka dla CVE-2026-39337 jest niekompletna, co pozwala na zdalne wykonanie kodu przed uwierzytelnieniem poprzez nieoczyszczoną zmienną DB_PASSWORD.

CVE-2026-41901
Krytyczne

Thymeleaf, silnik szablonów Java, ma lukę w zabezpieczeniach przed wersją 3.1.5.RELEASE, która pozwala na obejście mechanizmów wykonania wyrażeń. W przypadku przekazania do silnika szablonów niesanitarnych zmiennych, które zawierają niebezpieczne wyrażenia, może dojść do wykonania tych wyrażeń w kontekście sandboxa, co prowadzi do ataku typu Server-Side Template Injection (SSTI).

CVE-2026-44262
Krytyczne

Scramble generuje dokumentację API dla projektów Laravel. W wersjach od 0.13.2 do przed 0.13.22, gdy punkty końcowe dokumentacji są publicznie dostępne, a reguły walidacji odnoszą się do danych kontrolowanych przez użytkownika, dostarczone dane mogą być oceniane podczas generowania dokumentacji, co prowadzi do wykonania dowolnego kodu PHP w kontekście aplikacji.

CVE-2026-44258
Krytyczne

W wersjach przed 4.08.010, funkcja elfinder_checkRisk w efw4.X nie weryfikuje parametru dst używanego przez elfinder_paste, co pozwala atakującemu na kopiowanie lub przenoszenie plików z katalogu domowego do dowolnej lokalizacji poprzez ustawienie dst na zakodowaną w base64 ścieżkę przejścia.

CVE-2026-44257
Krytyczne

W efw4.X przed wersją 4.08.010, metoda efw.file.FileManager.unZip nie sprawdzała ścieżki kanonicznej przy zapisywaniu wpisów zip na dysku, co pozwalało na wyjście poza zamierzony katalog. Atakujący mógł wykorzystać tę lukę do umieszczenia złośliwego pliku JSP i wykonywania dowolnych poleceń jako użytkownik Tomcat.

CVE-2026-43948
Krytyczne

W wger przed wersją 2.6 występuje podatność, która pozwala użytkownikowi z uprawnieniami gym.manage_gym na zresetowanie hasła dowolnego użytkownika bez przypisania do siłowni. Wykorzystując błąd w porównaniu obiektów, atakujący może przejąć konto ofiary, a oryginalne hasło ofiary zostaje unieważnione.

CVE-2026-42854
Krytyczne

W wersjach przed 3.3.8, parser formularzy wieloczęściowych WebServer w arduino-esp32 alokuje tablicę o zmiennej długości na stosie, której rozmiar zależy od kontrolowanego przez atakującego pola nagłówka HTTP. Przekroczenie długości granicy większej niż ~8000 znaków prowadzi do przepełnienia stosu i potencjalnego wykonania zdalnego kodu.

CVE-2026-42196
Krytyczne

django-s3file przed wersją 7.0.2 jest podatny na ataki typu traversal, które pozwalają atakującemu na ucieczkę z pre-signed upload locations i załadowanie plików z losowych lokalizacji do request.FILES. Może to prowadzić do problemów z poufnością i integralnością danych.

CVE-2026-45185
Krytyczne

Exim w wersjach przed 4.99.3, w określonych konfiguracjach GnuTLS, ma podatność typu use-after-free w ścieżce analizy ciała BDAT. Może to prowadzić do uszkodzenia sterty, gdy klient wyśle powiadomienie TLS close_notify w trakcie transferu CHUNKING, a następnie ostatni bajt w czystym tekście na tym samym połączeniu TCP.

CVE-2026-44225
Krytyczne

Pulpy to lekka, wieloplatformowa aplikacja do pakowania aplikacji webowych. W wersji przed 0.1.1, Pulpy wstrzykiwał API JavaScript pulpy.fs do każdej zapakowanej aplikacji webowej, co umożliwiało dostęp do systemu plików hosta. Funkcja validateFsPath() miała ograniczać ten dostęp, ale jej lista blokad była niekompletna.

CVE-2026-44221
Krytyczne

ArcadeDB przed wersją 2.6.4 pozwalał uwierzytelnionym użytkownikom oraz tokenom API na odczyt, zapis i modyfikację schematu w dowolnej bazie danych na tym samym serwerze, co stanowi poważne naruszenie bezpieczeństwa.

CVE-2026-42889
Krytyczne

Wersje serwera Relay od 0.9.0 do 0.9.6 zawierają lukę w autoryzacji w punktach końcowych WebSocket dla wielu dokumentów. Atakujący bez autoryzacji może uzyskać dostęp do zawartości dokumentów, jeśli zna lub zgadnie identyfikator dokumentu.

CVE-2026-34660
Krytyczne

Wersje Adobe Connect 2025.9.15, 2025.8.157 i wcześniejsze są podatne na lukę w autoryzacji, która może prowadzić do wykonania dowolnego kodu w kontekście bieżącego użytkownika. Atakujący może wykorzystać tę podatność do wstrzyknięcia złośliwych skryptów na stronę internetową.

CVE-2026-34659
Krytyczne

Wersje Adobe Connect 2025.9.15, 2025.8.157 i wcześniejsze są podatne na lukę w deserializacji niezaufanych danych, co może prowadzić do wykonania dowolnego kodu w kontekście aktualnego użytkownika. Atakujący może wykorzystać tę podatność, aby uruchomić dowolny kod.

CVE-2026-44343
Krytyczne

WGDashboard, panel do zarządzania VPN WireGuard, przed wersją 4.3.2 zawierał krytyczne podatności, które mogły umożliwić nieautoryzowanym osobom dostęp do systemu plików hosta bez uwierzytelnienia.

PoprzedniaStrona 79 z 560Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS