Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-33844
Krytyczne

Nieprawidłowa kontrola dostępu w Azure Managed Instance dla Apache Cassandra umożliwia autoryzowanemu atakującemu wykonanie kodu przez sieć.

CVE-2026-33823
Krytyczne

Nieprawidłowa autoryzacja w Microsoft Teams umożliwia autoryzowanemu atakującemu ujawnienie informacji w sieci.

CVE-2026-33109
Krytyczne

Nieprawidłowa kontrola dostępu w Azure Managed Instance dla Apache Cassandra pozwala autoryzowanemu atakującemu na wykonanie kodu przez sieć.

CVE-2026-41902
Krytyczne

FreeScout przed wersją 1.8.217 ma lukę w punkcie końcowym /user-setup/{hash}, który akceptuje 60-znakowy losowy invite_hash do ustawienia hasła nowego użytkownika. Brak weryfikacji wygaszenia hasha pozwala na nieautoryzowane przejęcie konta przez długi czas po wydaniu zaproszenia.

CVE-2026-37709
Krytyczne

W podatności o nazwie CVE-2026-37709 występuje niebezpieczna konfiguracja uprawnień w grokability snipe-it w wersji 8.4.0 i wcześniejszych, która została naprawiona po commitcie 676a9958 z dnia 10 marca 2026 roku. Umożliwia to zdalnemu atakującemu wykonanie dowolnego kodu za pośrednictwem komponentu app/Http/Controllers/Api/UploadedFilesController.php.

CVE-2026-7415
Krytyczne

Broker MQTT w oprogramowaniu Yarbo w wersji 2.3.9 jest skonfigurowany do zezwalania na anonimowe połączenia bez kontroli dostępu na poziomie tematów. Każdy host w tej samej sieci może subskrybować wrażliwe tematy telemetryczne lub publikować wiadomości kontrolne bez jakiejkolwiek autoryzacji.

CVE-2026-7414
Krytyczne

Oprogramowanie układowe Yarbo w wersji 2.3.9 zawiera wbudowane, twardo zakodowane dane logowania administracyjnego. Te dane są identyczne we wszystkich urządzeniach działających na tym oprogramowaniu i nie mogą być zmieniane ani usuwane przez użytkowników końcowych.

CVE-2025-63704
Krytyczne

Pakiet NPM query-parser-string w wersji 1.0.0 jest podatny na zanieczyszczenie prototypu. Pakiet nieprawidłowo oczyszcza parametry zapytania dostarczane przez użytkownika i łączy je z nowo utworzonym obiektem.

CVE-2025-63703
Krytyczne

Pakiet npm parse-ini w wersji 1.0.6 jest podatny na zanieczyszczenie prototypu w funkcji index.js().

CVE-2026-36458
Krytyczne

ChestnutCMS w wersji 1.5.10 zawiera podatność na wstrzykiwanie SQL. Parametr content tagu cms_content może być manipulowany w panelu administracyjnym i wstrzykiwany do zapytania SQL podczas renderowania szablonu.

CVE-2025-63706
Krytyczne

Pakiet NPM next-npm-version w wersji 1.0.1 jest podatny na atak typu Command injection, co może umożliwić atakującemu wykonanie nieautoryzowanych poleceń w systemie.

CVE-2026-6795
Krytyczne

W podatności CVE-2026-6795 występuje problem z przekierowaniem URL do nieufnej strony ('open redirect') w systemie DivvyDrive. Umożliwia to wstrzykiwanie parametrów, co może prowadzić do nieautoryzowanego dostępu.

CVE-2026-41589
Krytyczne

Wish to serwer SSH, który w wersjach od 2.0.0 do przed 2.0.1 jest podatny na ataki typu path traversal w middleware SCP. Złośliwy klient SCP może odczytywać dowolne pliki z serwera, zapisywać pliki oraz tworzyć katalogi poza skonfigurowanym katalogiem głównym, wysyłając odpowiednio skonstruowane nazwy plików zawierające sekwencje ../ przez protokół SCP.

CVE-2026-30496
Krytyczne

Projektor Optoma CinemaX P2 (firmware TVOS-04.24.010.04.01, Android 8.0.0) udostępnia API HTTP na porcie TCP 2345, które umożliwia pełną, nieautoryzowaną zdalną kontrolę urządzenia. API pozwala na odczyt i modyfikację ustawień projektora, takich jak głośność, wyciszenie, jasność i inne funkcje.

CVE-2026-8094
Krytyczne

W komponencie WebRTC przeglądarki Firefox i klienta poczty Thunderbird wykryto nieokreśloną podatność. Luka została załatana w wersjach ESR 140.10.2 Firefoksa oraz Thunderbird 140.10.2.

CVE-2026-8091
Krytyczne

Podatność w komponencie odtwarzania audio/wideo przeglądarki Firefox i klienta poczty Thunderbird wynika z nieprawidłowych warunków brzegowych. Luka została załatana w wersjach Firefox 150, Thunderbird 150, Firefox ESR 140.10.1, Thunderbird 140.10.1 oraz Firefox ESR 115.35.2.

CVE-2026-6508
Krytyczne

W podatności CVE-2026-6508 w oprogramowaniu Liderahenk występuje błąd walidacji pochodzenia, który pozwala na dostęp do funkcjonalności, która nie jest odpowiednio ograniczona przez listy kontroli dostępu (ACL). Problem dotyczy wersji Liderahenk od 2.0.1 do przed 2.0.2.

CVE-2026-33587
Krytyczne

Brak sanitizacji danych wejściowych użytkownika w Open Notebook v1.8.3 umożliwia wykonanie kodu Pythona (a następnie poleceń systemowych) w kontenerze docker poprzez wstrzyknięcie szablonu po stronie serwera (SSTI) dla transformacji tworzonych przez użytkownika.

CVE-2026-41586
Krytyczne

Hyperledger Fabric w wersjach od 1.0.0 do 2.2.26 zawiera podatność w klasie Channel.java, która implementuje metodę readObject() i eksponuje deSerializeChannel(). Metoda ta wywołuje ObjectInputStream.readObject() na nieufnych tablicach bajtów bez konfiguracji ObjectInputFilter, co prowadzi do klasycznego wzorca RCE związanym z deserializacją w Javie.

CVE-2026-42217
Krytyczne

OpenEXR w wersjach od 3.0.0 do przed 3.2.9, 3.3.0 do przed 3.3.11 oraz 3.4.0 do przed 3.4.11 ma problem z funkcją readVariableLengthInteger(), która dekoduje zmienną długość liczby całkowitej z niezaufanego wejścia EXR bez ograniczenia liczby przesunięć. Po wystarczającej liczbie bajtów kontynuacji, kod wykonuje przesunięcie w lewo o 70 na 64-bitowej wartości, co prowadzi do nieokreślonego zachowania.

PoprzedniaStrona 87 z 560Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS