Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-14617
Niskie

Wykryto podatność w NousResearch hermes-agent do wersji 2026.4.30. Problem dotyczy funkcji GatewayStreamConsumer._filter_and_accumulate w pliku gateway/stream_consumer.py, co prowadzi do nieprawidłowego obsługiwania wielkości liter. Atak może być przeprowadzony zdalnie, ale jest trudny do wykorzystania.

CVE-2026-46466
Niskie

Podatność w Dell PowerProtect Data Domain polega na użyciu mniej zaufanego źródła. Umożliwia ona atakującemu z wysokimi uprawnieniami i zdalnym dostępem manipulację informacjami.

CVE-2026-56085
Niskie

Podatność w Dell PowerProtect Data Domain polega na użyciu niezainicjowanego zasobu. Niskouprzywilejowany atakujący z lokalnym dostępem może wykorzystać ten błąd, prowadząc do ujawnienia informacji.

CVE-2026-41124
Niskie

Podatność typu path traversal w Dell PowerProtect Data Domain pozwala wysoko uprzywilejowanemu atakującemu z lokalnym dostępem na ominięcie ograniczeń ścieżek i potencjalne ujawnienie informacji.

CVE-2026-13743
Niskie

Podatność w oprogramowaniu układowym koła reakcyjnego CubeSpace CW0057 przed wersją 5.0.20 wynika z nieprawidłowej weryfikacji podpisu kryptograficznego. Umożliwia to atakującemu z fizycznym dostępem do urządzenia przesłanie dowolnego złośliwego oprogramowania bez uwierzytelnienia.

CVE-2026-53422
Niskie

Podatność Observable Response Discrepancy w module ssh_sftpd Erlang OTP SSH umożliwia uwierzytelnionemu użytkownikowi SFTP sprawdzenie istnienia plików i katalogów poza skonfigurowanym katalogiem głównym. Obsługa żądania SSH_FXP_REALPATH nie kanonizuje ścieżki przed sprawdzeniem ograniczeń, co pozwala na użycie składników '..' do ominięcia walidacji i uzyskania informacji o istnieniu ścieżek w systemie plików.

CVE-2026-11781
Niskie

Wtyczka Adminify dla WordPress przed wersją 4.2.10 nie sprawdza uprawnień odczytu użytkownika w jednej z funkcji wyszukiwania administracyjnego, co pozwala użytkownikom z niskimi uprawnieniami (Contributor) na ujawnienie niepublicznych treści, takich jak tytuły nieopublikowanych postów innych autorów, treści oczekujących komentarzy, inwentarz wtyczki oraz nazwy kont użytkowników.

CVE-2026-11578
Niskie

Wtyczka Fluent Forms dla WordPressa przed wersją 6.2.5 nie ogranicza prawidłowo usuwania wpisów formularzy do tych, którymi zarządza ograniczony menedżer. Pozwala to menedżerowi z ograniczeniami do konkretnych formularzy na trwałe usuwanie wpisów należących do innych formularzy. Wymaga to niestandardowej konfiguracji, w której administrator utworzył co najmniej jednego menedżera z ograniczeniami do określonych formularzy.

CVE-2026-58036
Niskie

Podatność w MediaWiki umożliwia nieautoryzowanym aktorom dostęp do wrażliwych informacji poprzez pliki ApiQueryAllUsers.php, ApiQueryUsers.php, PermissionManager.php oraz UserGroupManager.php.

CVE-2026-8387
Niskie

Podatność w bibliotece allegroai/clearml w wersjach do 1.16.5 umożliwia względne przechodzenie ścieżek podczas rozpakowywania archiwów .zip metodą ZipFile.extractall() w StorageManager._extract_to_cache(). Brak walidacji ścieżek pozwala atakującemu na zapis dowolnych plików w systemie.

CVE-2026-11880
Niskie

Wtyczka Fluent Forms dla WordPressa przed wersją 6.2.1 nie weryfikuje poprawnie własności przed przetworzeniem żądania anulowania subskrypcji, co pozwala uwierzytelnionym użytkownikom z niskimi uprawnieniami na anulowanie subskrypcji należących do innych użytkowników.

CVE-2026-44042
Niskie

UltraVNC repeater do wersji 1.8.2.2 zawiera błąd off-by-one w funkcji dekodującej Base64 używanej do uwierzytelniania HTTP Basic. W pliku webutils.c:817 funkcja wi_uudecode() sprawdza, czy długość wejścia przekracza bufor wyjściowy za pomocą ścisłego porównania większości (>), podczas gdy poprawnym sprawdzeniem powinno być większe lub równe (>=). Obecnie ryzyko jest ograniczone do zapisu jednego bajtu na granicy 1024-bajtowego bufora stosu w ograniczonych warunkach.

CVE-2026-41579
Niskie

W runc przed wersjami 1.3.6, 1.4.3 i 1.5.0, funkcje setupPtmx i setupDevSymlinks używają filepath.Join z os.Remove i os.Symlink, co pozwala obrazowi z /dev jako dowiązaniem symbolicznym na usunięcie pliku ptmx na hoście lub utworzenie dowiązań symbolicznych w dowolnym katalogu hosta. Pod Dockerem podatność nie jest wykorzystywalna, ale inne narzędzia kontenerowe oparte na runc są narażone.

CVE-2026-54898
Niskie

W bibliotece Oj (Optimized JSON) dla języka Ruby wykryto podatność na użycie po zwolnieniu (use-after-free) w parserze C. Problem występuje, gdy callback SAJ/SAJ2 modyfikuje parsowany string JSON, powodując ponowną alokację bufora i pozostawienie wiszącego wskaźnika.

CVE-2026-54897
Niskie

Oj (Optimized JSON) to parser JSON i marshaller obiektów spakowany jako gem Ruby. Przed wersją 3.17.2 iteratory Oj::Doc (each_value, each_child, each_leaf) były podatne na użycie po zwolnieniu (use-after-free) sterty. Gdy blok Ruby wywołany podczas iteracji wywołuje doc.close lub d.close, pamięć sterty dokumentu jest zwalniana, podczas gdy iterator C wciąż działa. Po powrocie z bloku iterator odczytuje z zwolnionego obszaru, co prowadzi do podatności dostępnej z czystego Ruby.

CVE-2026-54896
Niskie

W bibliotece Oj (Optimized JSON) dla języka Ruby wykryto podatność na przepełnienie bufora sterty podczas serializacji obiektów Exception z dużą wartością parametru :indent. Problem występuje w wersjach przed 3.17.2 i został naprawiony w tej wersji.

CVE-2026-56377
Niskie

Podatność w ImageMagick przed wersją 7.1.2-24 umożliwia atakującym ominięcie polityk bezpieczeństwa i tworzenie lub obcinanie plików, które powinny być zablokowane. Luka wynika z nieprawidłowej weryfikacji polityk ścieżek, co pozwala na zapis plików poza dozwolonymi granicami.

CVE-2026-56369
Niskie

Podatność w ImageMagick przed wersją 7.1.2-22 w metodzie PasskeyEncipherImage powoduje ponowne użycie nonce w szyfrze AES-CTR. Umożliwia to atakującym odzyskanie oryginalnej treści z zaszyfrowanych obrazów.

CVE-2026-56365
Niskie

Podatność w ImageMagick przed wersją 7.1.2-19 powoduje wyciek pamięci w enkoderze PNG podczas zapisywania obrazów MNG. Atakujący może wywołać błąd enkodera, prowadząc do wyczerpania zasobów pamięci i odmowy usługi.

CVE-2026-56364
Niskie

Podatność w ImageMagick przed wersją 7.1.2-13 powoduje wyciek pamięci w funkcji LoadOpenCLDeviceBenchmark() podczas parsowania nieprawidłowo sformatowanych plików XML profilu urządzenia OpenCL z niezamkniętymi elementami urządzenia. Atakujący z dostępem do zapisu w katalogu pamięci podręcznej OpenCL mogą umieścić złośliwe pliki XML, co prowadzi do wyczerpania pamięci i odmowy usługi.

PoprzedniaStrona 1 z 60Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS