Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-56408
Średnie

W bibliotece libexpat przed wersją 2.8.2 występuje przepełnienie całkowite w funkcji copyString.

CVE-2026-56407
Średnie

W bibliotece libexpat przed wersją 2.8.2 występuje przepełnienie całkowite w funkcji doProlog, które jest związane z funkcjami storeEntityValue oraz entity textLen.

CVE-2026-56406
Średnie

W bibliotece libexpat przed wersją 2.8.2 występuje przepełnienie całkowite w funkcji XML_ParseBuffer z powodu braku odpowiedniego sprawdzenia, które było obecne w funkcji XML_Parse.

CVE-2026-56405
Średnie

W bibliotece libexpat przed wersją 2.8.2 występuje przepełnienie całkowite w funkcji getAttributeId.

CVE-2026-56404
Średnie

W wersjach libexpat przed 2.8.2 występuje przepełnienie całkowite w funkcji addBinding.

CVE-2026-56403
Średnie

W wersjach libexpat przed 2.8.2 występuje przepełnienie całkowite w funkcji storeAtts.

CVE-2026-56394
Średnie

Craft CMS w wersji 4.0.0-RC1 zawiera podatność na przejście ścieżki weryfikacji uwierzytelnionej w punkcie końcowym assets/icon, gdzie parametr rozszerzenia nie jest weryfikowany przed sprawdzeniem istnienia pliku. Atakujący mogą obejść walidację rozszerzenia, przekazując sekwencje przejścia, które prowadzą do istniejących plików SVG, co umożliwia dostęp do lokalnych plików.

CVE-2026-56393
Średnie

Craft CMS w wersjach 4.x (>= 4.0.0-RC1, < 4.17.0-beta.1) oraz 5.x (>= 5.0.0-RC1, < 5.9.0-beta.1) zawiera wiele podatności na przechowywane ataki typu cross-site scripting, gdzie nazwy ustawień i etykiety opcji pól są renderowane bez sanitizacji. Uwierzytelniony administrator może wstrzykiwać złośliwe ładunki do nazw sekcji, nazw woluminów, nazw grup użytkowników, nazw zestawów globalnych, generowanych nazw pól, etykiet opcji checkbox/radio oraz etykiet źródłowych, co prowadzi do wykonania dowolnego JavaScriptu w sesjach panelu kontrolnego innych użytkowników.

CVE-2026-56385
Średnie

W wersjach Craft CMS >= 5.0.0-RC1, <= 5.9.13 oraz >= 4.0.0-RC1, <= 4.17.7 występuje luka w autoryzacji w punkcie końcowym assets/preview-file. Luka ta pozwala na ominięcie autoryzacji przeglądania zasobów przez użytkowników o niskich uprawnieniach.

CVE-2026-56384
Średnie

Craft CMS zawiera lukę w autoryzacji w punkcie końcowym assets/preview-thumb. Użytkownik Panelu Sterowania bez uprawnień do przeglądania prywatnego zasobu może wywołać ten punkt końcowy z kontrolowanym przez atakującego assetId i otrzymać HTML podglądu zawierający podpisany link do podglądu transformacji prywatnego zasobu.

CVE-2026-56383
Średnie

Craft CMS zawiera podatność na przechowywane ataki XSS w komponencie editableTable.twig, gdy używany jest typ kolumny 'Row Heading'. Aplikacja nie sanitizuje danych wejściowych w domyślnych wartościach nagłówków wierszy, co pozwala atakującemu z kontem administratora na wstrzyknięcie dowolnego kodu JavaScript.

CVE-2026-56381
Średnie

Craft CMS od wersji 5.0.0-RC1 zawiera podatność na przechowywane ataki typu cross-site scripting na stronie uprawnień użytkowników, gdzie nazwy grup użytkowników są renderowane bez odpowiedniego zabezpieczenia HTML. Atakujący z dostępem administratora mogą wstrzykiwać dowolny kod JavaScript przez pole nazwy grupy użytkowników, który wykonuje się, gdy inni użytkownicy przeglądają lub edytują uprawnienia.

CVE-2026-56316
Średnie

Cap-go przed wersją 12.128.2 zawiera podatność na ujawnienie informacji w punkcie końcowym OPTIONS /build/upload/:jobId/*. Umożliwia to nieautoryzowanym atakującym enumerację ważnych identyfikatorów zadań budowy poprzez różnice w odpowiedziach.

CVE-2026-56299
Średnie

Capgo w wersjach przed 12.128.2 zawiera podatność na obejście uwierzytelniania w punkcie końcowym /build/upload/:jobId/*. Umożliwia to nieautoryzowanym atakującym wywoływanie błędów 500.

CVE-2026-56251
Średnie

Capgo w wersjach przed 12.128.2 zawiera wadliwą politykę bezpieczeństwa na poziomie wiersza w tabeli org_users, która pozwala uwierzytelnionym użytkownikom na podniesienie uprawnień z admin do super_admin. Atakujący mogą wykorzystać niewystarczające egzekwowanie RLS, aby uzyskać nieautoryzowany dostęp do super_admin.

CVE-2026-56236
Średnie

Capgo CLI w wersjach przed 12.128.2 zawiera podatności na nadpisywanie plików, które nie są weryfikowane podczas operacji logowania i budowania poświadczeń. Atakujący mogą tworzyć złośliwe symlinki w repozytoriach, co pozwala na nadpisywanie dowolnych plików lub ujawnianie poświadczeń z uprawnieniami do odczytu dla wszystkich.

CVE-2026-56229
Średnie

Capgo w wersjach przed 12.128.2 zawiera lukę w autoryzacji w punktach końcowych /build/status i /build/logs, która pozwala atakującym na dostęp do zadań budowy należących do różnych aplikacji poprzez podanie niezgodnej kombinacji app_id i job_id.

CVE-2026-12799
Średnie

Wykryto podatność w BerriAI litellm do wersji 1.82.2, dotycząca funkcji ui_view_users w pliku litellm/proxy/management_endpoints/internal_user_endpoints.py. Problem ten jest wynikiem niepełnej naprawy CVE-2025-0628, co prowadzi do niewłaściwej autoryzacji.

CVE-2026-12798
Średnie

Zidentyfikowano słabość w BerriAI litellm do wersji 1.82.2, dotyczącą funkcji load_openapi_spec_async. Manipulacja argumentem spec_path prowadzi do ataku typu server-side request forgery.

CVE-2026-12797
Średnie

W BerriAI litellm do wersji 1.82.5 odkryto lukę bezpieczeństwa w funkcji async_pre_call_hook w pliku enterprise/enterprise_hooks/banned_keywords.py. Manipulacja argumentem prompt prowadzi do nieprawidłowej autoryzacji, co może być wykorzystane w atakach zdalnych.

PoprzedniaStrona 79 z 534Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS