Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-14388
Średnie

Podatność w komponencie ANGLE w przeglądarce Google Chrome przed wersją 150.0.7871.46 umożliwia zdalnemu atakującemu odczyt poza zakresem pamięci procesu za pomocą spreparowanej strony HTML. Może to prowadzić do ujawnienia potencjalnie wrażliwych informacji.

CVE-2026-14386
Średnie

Podatność w komponencie ANGLE w przeglądarce Google Chrome przed wersją 150.0.7871.46 umożliwia zdalnemu atakującemu odczyt poza dozwolonym zakresem pamięci procesu za pomocą spreparowanej strony HTML. Problem został sklasyfikowany jako wysokiego ryzyka (High).

CVE-2026-14384
Średnie

Podatność w komponencie ANGLE w przeglądarce Google Chrome na systemie Windows przed wersją 150.0.7871.46 umożliwia zdalnemu atakującemu odczyt danych poza dozwolonym zakresem pamięci. Atak może zostać przeprowadzony za pomocą spreparowanej strony HTML, prowadząc do wycieku danych między różnymi źródłami (cross-origin).

CVE-2026-14381
Średnie

Podatność w komponencie WebAppInstalls przeglądarki Google Chrome przed wersją 150.0.7871.46 umożliwiała zdalnemu atakującemu fałszowanie interfejsu użytkownika za pomocą spreparowanej strony HTML. Problem wynika z nieprawidłowego działania mechanizmu bezpieczeństwa interfejsu.

CVE-2026-55793
Średnie

W Craft CMS w wersjach od 5.0.0-RC1 do 5.9.22 użytkownik z rolą autora może wstrzyknąć złośliwy kod JavaScript w tytule wpisu. Gdy administrator przeciągnie inny wpis pod zatruty wpis w widoku tabeli, kod wykonuje się w sesji ofiary.

CVE-2026-54712
Średnie

W bibliotece OpenTelemetry Java Instrumentation przed wersją 2.27.0 wykryto podatność polegającą na braku ograniczenia rozmiaru danych odczytywanych ze strumienia w mechanizmie propagacji kontekstu RMI. Atakujący mogący wysłać żądanie do punktu końcowego RMI w instrumentowanej maszynie JVM może przesłać zbyt duży ładunek kontekstu, co prowadzi do nadmiernego przydziału pamięci i potencjalnie do odmowy usługi (DoS). Problem dotyczy tylko wdrożeń z włączoną instrumentacją RMI i dostępnym sieciowo punktem końcowym RMI.

CVE-2026-54704
Średnie

W bibliotece OpenTelemetry Java Instrumentation przed wersją 2.28.0 wykryto podatność w automatycznej instrumentacji JDBC, która może nie oczyścić haseł w instrukcjach SQL CONNECT, gdy hasło jest ujęte w podwójne cudzysłowy. W rezultacie hasła w postaci jawnego tekstu mogą zostać dodane do atrybutów spanów śledzenia i wyeksportowane do systemów obserwowalności.

CVE-2026-54262
Średnie

W Wagtail, systemie zarządzania treścią opartym na Django, w wersjach przed 7.0.8, 7.3.3 i 7.4.2, użytkownik z niskim poziomem uprawnień posiadający uprawnienie "Can submit translation" może tworzyć tłumaczenia dla dowolnych stron, w tym tych, do których nie ma dostępu. Luka została załatana w wersjach 7.0.8, 7.3.3 i 7.4.2.

CVE-2026-54261
Średnie

W Wagtail, systemie zarządzania treścią opartym na Django, brakuje kontroli uprawnień w punkcie końcowym podglądu obrazów. Użytkownik z dostępem do panelu administracyjnego może podglądać dowolny obraz, ale nie są ujawniane dane samego obiektu obrazu. Luka nie jest dostępna dla zwykłych odwiedzających stronę.

CVE-2026-54260
Średnie

W Wagtail, systemie zarządzania treścią opartym na Django, w wersjach przed 7.0.8, 7.3.3 i 7.4.2, uwierzytelniony użytkownik administracyjny może wywołać kosztowne przetwarzanie renderowania za pomocą celowo spreparowanych specyfikacji filtrów, co może prowadzić do degradacji usługi. Podatność nie jest dostępna dla zwykłego odwiedzającego stronę bez dostępu do panelu administracyjnego Wagtail.

CVE-2026-54259
Średnie

W Wagtail, systemie zarządzania treścią opartym na Django, w wersjach przed 7.0.8, 7.3.3 i 7.4.2, endpoint wyboru dokumentów i obrazów nieprawidłowo wyświetlał elementy, do których użytkownik nie miał uprawnień wyboru. Osoba z dostępem do panelu administracyjnego Wagtail mogła zobaczyć nazwy plików, nazwy i adresy URL dokumentów oraz obrazów w tych kolekcjach.

CVE-2026-36911
Średnie

Podatność dzielenia przez zero w funkcji CStreamSwitcherOutputPin::DecideBufferSize w odtwarzaczu MPC-BE przed commit 4341cb3 umożliwia atakującym wywołanie odmowy usługi (DoS) poprzez spreparowany plik MP4.

CVE-2026-36910
Średnie

Podatność w funkcji BaseSplitterFile::Read odtwarzacza MPC-BE przed commit 4341cb3 umożliwia atakującym wywołanie błędu naruszenia dostępu poprzez spreparowany plik MP4, co prowadzi do odmowy usługi (DoS).

CVE-2026-36909
Średnie

W bibliotece MPC-BE przed commit 4341cb3 w funkcji AP4_TkhdAtom::GetTrackId() występuje błąd dereferencji wskaźnika NULL. Atakujący może wykorzystać spreparowany plik MP4, aby spowodować awarię aplikacji (DoS).

CVE-2026-55886
Średnie

Jodit Editor w wersjach przed 4.12.26 jest podatny na zanieczyszczenie prototypu (Prototype Pollution) przez funkcję Jodit.modules.Helpers.set(). Atakujący może przekazać specjalnie spreparowaną ścieżkę klucza zawierającą __proto__, constructor lub prototype, co prowadzi do modyfikacji Object.prototype i wstrzyknięcia nieoczekiwanych właściwości.

CVE-2026-55661
Średnie

W systemie zarządzania treścią Tina stwierdzono podatność na atak XSS w komponencie rich-text. Parsowanie oraz domyślne renderery linków/obrazów nie oczyszczają pola URL, co pozwala na wstrzyknięcie złośliwych adresów (np. javascript: lub data:text/html) i wykonanie kodu podczas przeglądania treści.

CVE-2026-54786
Średnie

Wasmtime do wersji 24.0.10, 36.0.11, 44.0.3 oraz 45.0.2 zawiera podatność w natywnej implementacji WASIp1, gdzie funkcja fd_renumber nie zamyka prawidłowo deskryptora pliku, do którego następuje przepisanie. Powoduje to wyciek zasobów w systemie gospodarza, który może prowadzić do wyczerpania dostępnych deskryptorów plików i zasobów.

CVE-2026-54756
Średnie

W Jodit Editor przed wersją 4.12.18 funkcja Jodit.configure() oraz wewnętrzne helpery ConfigMerge/ConfigProto scalały opcje użytkownika bez filtrowania kluczy modyfikujących prototyp, co prowadziło do podatności na zatrucie prototypu (Prototype Pollution).

CVE-2026-54720
Średnie

W Silverstripe Framework przed wersją 6.2.2 funkcja 'Wstaw media z sieci' w CMS jest podatna na atak XSS poprzez specjalnie spreparowany kod osadzenia. Luka została naprawiona w wersji 6.2.2.

CVE-2026-14340
Średnie

W GitHub Enterprise Server wykryto podatność nieprawidłowej autoryzacji, która pozwalała tokenowi użytkownika dla aplikacji GitHub App na wykonywanie operacji zapisu w publicznych repozytoriach poza zakresem tokena. Problem wynikał z braku weryfikacji, czy instalacja aplikacji ma wyraźny dostęp do repozytorium.

PoprzedniaStrona 9 z 485Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS