Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-12797
Średnie

W BerriAI litellm do wersji 1.82.5 odkryto lukę bezpieczeństwa w funkcji async_pre_call_hook w pliku enterprise/enterprise_hooks/banned_keywords.py. Manipulacja argumentem prompt prowadzi do nieprawidłowej autoryzacji, co może być wykorzystane w atakach zdalnych.

CVE-2026-12796
Średnie

Zidentyfikowano podatność w BerriAI litellm do wersji 1.82.2, która wpływa na funkcję get_redirect_response_from_openid w pliku litellm/proxy/management_endpoints/ui_sso.py w komponencie SSO Authentication Flow. Manipulacja prowadzi do wygaśnięcia sesji.

CVE-2026-12789
Średnie

Zidentyfikowano podatność w systemie zarządzania nauką ILIAS w wersji 11.0, która dotyczy funkcji ilTrQuery::executeQueries w pliku components/ILIAS/Tracking/classes/class.ilTrQuery.php. Manipulacja argumentem troup_table_nav prowadzi do możliwości wstrzyknięcia SQL.

CVE-2026-12788
Średnie

W podatności w platformie ADP firmy zhilink (深圳)科技有限公司 w wersji 1.0.0 zidentyfikowano problem w nieznanym kodzie pliku /adpweb/a/base/barcodeDetail/import, związanym z analizatorem XML. Manipulacja ta prowadzi do wykorzystania zewnętrznych odniesień encji XML, co może umożliwić zdalny atak.

CVE-2026-12787
Średnie

Wykryto podatność w platformie ADP Application Developer Platform w wersji 1.0.0, która dotyczy nieznanej części komponentu testConnection Endpoint. Manipulacja argumentem jdbcUrl prowadzi do deserializacji.

CVE-2026-12776
Średnie

W Montodel House-Rental-Management zidentyfikowano lukę, która umożliwia atak SQL injection poprzez manipulację argumentem ID w pliku /index.php?page=houses. Atak można przeprowadzić zdalnie.

CVE-2026-12774
Średnie

Wykryto podatność w BerriAI litellm do wersji 1.82.2, dotycząca funkcji _execute_with_mcp_client w pliku litellm/proxy/_experimental/mcp_server/rest_endpoints.py. Manipulacja prowadzi do ataku typu server-side request forgery.

CVE-2026-12772
Średnie

Wykryto lukę bezpieczeństwa w BerriAI litellm do wersji 1.82.2, która wpływa na funkcję authenticate_user w pliku litellm/proxy/auth/login_utils.py komponentu PROXY_ADMIN API Generatora kluczy bazy danych. Manipulacja tą funkcją prowadzi do wygaśnięcia sesji.

CVE-2026-12771
Średnie

Zidentyfikowano podatność w BerriAI litellm do wersji 1.82.2, która dotyczy nieznanej funkcji w pliku litellm/proxy/auth/user_api_key_auth.py komponentu M2M JWT Handler. Manipulacja ta prowadzi do niewłaściwej autoryzacji.

CVE-2026-12770
Średnie

Wykryto podatność w BerriAI litellm do wersji 1.63.1, dotycząca nieznanej funkcji w pliku litellm/proxy/management_endpoints/key_management_endpoints.py komponentu Admin Key Handler. Manipulacja ta prowadzi do niewłaściwej autoryzacji.

CVE-2026-56347
Średnie

Wtyczka AVideo TopMenu w wersji do 26.0 zawiera podatność na przechowywane skrypty międzystronowe (XSS) w renderowaniu elementów menu z powodu braku kodowania wyjściowego klas ikon, adresów URL i etykiet tekstowych. Atakujący mogą wstrzykiwać złośliwy JavaScript przez nieodpowiednio zabezpieczone pola elementów menu, co może prowadzić do kradzieży ciasteczek sesyjnych lub wykonywania nieautoryzowanych działań.

CVE-2026-56342
Średnie

AVideo w wersji do 27.0 zawiera podatność typu server-side request forgery w pliku plugin/Live/test.php, która pozwala uwierzytelnionym administratorom na odczyt dowolnych adresów URL za pomocą parametru statsURL. Brak walidacji isSSRFSafeURL() umożliwia wysyłanie żądań do prywatnych zakresów IP oraz punktów końcowych metadanych w chmurze.

CVE-2025-71379
Średnie

Podatność ReDoS w vLLM w wersjach od 0.6.3 do 0.9.0. Wzorce wyrażeń regularnych w kilku komponentach (vllm/lora/utils.py, parser phi4mini, endpoint czatu OpenAI) są podatne na katastrofalne cofanie, co pozwala atakującemu na przeciążenie CPU i degradację wydajności.

CVE-2026-56332
Średnie

Capgo w wersjach przed 12.128.2 zawiera podatność na otwarte przekierowanie w punkcie końcowym confirm-signup, co pozwala atakującym na przekierowywanie użytkowników do dowolnych zewnętrznych stron internetowych. Parametr confirmation_url nie jest walidowany, co umożliwia tworzenie złośliwych linków do ataków phishingowych i zbierania danych uwierzytelniających.

CVE-2026-56319
Średnie

Capgo w wersjach przed 12.128.2 zawiera podatność na ujawnienie informacji w punkcie końcowym GET /statistics/app/:app_id, która pozwala na rozróżnienie istniejących identyfikatorów aplikacji przez klucze API o ograniczonym dostępie. Atakujący mogą enumerować rzeczywiste identyfikatory aplikacji, obserwując różnice w odpowiedziach błędów.

CVE-2026-56317
Średnie

Nuxt przed wersją 4.4.7 (oraz gałąź 3.x przed 3.21.7) zawiera podatność na ataki typu cross-site scripting w komponencie NoScript, który zapisuje zawartość slotów do innerHTML bez odpowiedniego zabezpieczenia. Atakujący mogą wstrzykiwać złośliwe skrypty poprzez niezaufane dane w slotach NoScript, takie jak parametry route.query.

CVE-2026-56307
Średnie

Cap-go przed wersją 12.128.12 zawiera podatność na uszkodzoną paginację kursorów w punkcie końcowym /private/devices, co pozwala uwierzytelnionym atakującym na wywołanie pętli zduplikowanych stron i uniemożliwienie dostępu do późniejszych wierszy.

CVE-2026-56304
Średnie

Picklescan przed wersją 1.0.1 zawiera podatność na niebezpieczną deserializację pickle, która pozwala nieautoryzowanym atakującym na tworzenie dowolnych plików o zerowej wielkości poprzez instancjonowanie klasy logging.FileHandler. Atakujący mogą wykorzystać tę lukę, tworząc złośliwe ładunki pickle, aby obejść blokady RCE i tworzyć pliki blokad lub inne artefakty systemu plików.

CVE-2026-56295
Średnie

Capgo w wersjach przed 12.128.2 zawiera lukę w autoryzacji w punktach końcowych zarządzania webhookami, która pozwala na ominięcie polityki wymogu wygasania kluczy API. Funkcja checkWebhookPermission nie wywołuje apikeyHasOrgRightWithPolicy, co umożliwia atakującym z przestarzałymi kluczami nie wygasającymi na listowanie, tworzenie i usuwanie webhooków.

CVE-2026-56294
Średnie

Wersje capacitor-native-biometric przed 12.128.2 zawierają podatność na obejście uwierzytelnienia, w której metoda onAuthenticationSucceeded() nie weryfikuje parametrów CryptoObject. Atakujący mogą wykorzystać dynamiczną instrumentację, aby obejść uwierzytelnienie biometryczne bez ważnych poświadczeń.

PoprzedniaStrona 80 z 535Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS