CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.10)

CVE-2026-46685
Medium

RustFS to rozproszony system przechowywania obiektów zbudowany w Rust. Przed wersją 1.0.0-beta.2, gdy RUSTFS_CORS_ALLOWED_ORIGINS nie jest ustawiony, warstwa ConditionalCorsLayer nasłuchiwacza S3 RustFS odzwierciedla dowolną wartość Origin żądania jako Access-Control-Allow-Origin, co prowadzi do luźnej polityki cross-domain z nieufnymi źródłami.

CVE-2026-46526
Medium

W wersjach przed 1.6.10, logika sprawdzania URL w Local Deep Research zawierała błąd logiczny, który mógł być wykorzystany przez atakujących do przeprowadzenia ataków SSRF. Problem wynikał z różnic w analizie URL między urlparse a biblioteką wysyłającą żądanie.

CVE-2026-45040
Medium

RustFS to rozproszony system przechowywania obiektów zbudowany w języku Rust. W wersjach przed 1.0.0-beta.2 występuje wyciek wrażliwych informacji w logach, gdzie przy uruchomieniu serwera z RUST_LOG=debug, wrażliwe dane, takie jak SessionToken (JWT) i SecretAccessKey, są zapisywane w postaci niezaszyfrowanej.

CVE-2026-44394
Medium

W OpenStack Keystone przed wersją 29.0.2 zidentyfikowano problem związany z mechanizmem zmiany zakresu tokenów federacyjnych. Mechanizm ten nie przenosi daty wygaśnięcia oryginalnego tokena do nowo wydanego tokena, co pozwala użytkownikom na nieograniczony dostęp poprzez wielokrotne zmienianie zakresu tokena.

CVE-2026-43979
Medium

W wersjach przed 1.6.0, funkcja PDFService._markdown_to_html() w Local Deep Research nieprawidłowo interpoluje wartości kontrolowane przez użytkownika, co pozwala na wstrzykiwanie niebezpiecznych tagów HTML. Umożliwia to atakującemu, który jest uwierzytelniony, na wykonanie ataku SSRF poprzez odpowiednio skonstruowane zapytanie badawcze.

CVE-2026-43000
Medium

In OpenStack Keystone before version 29.0.2, a vulnerability combined with an application credential impersonation flaw allows an attacker with the member role on a project to escalate to admin. By chaining unrestricted application credentials with Keystone trusts, the attacker can impersonate a victim and create a trust delegating the victim's admin role to themselves.

CVE-2026-42999
Medium

In OpenStack Keystone before version 29.0.2, a vulnerability was found in the RBAC policy enforcement mechanism. The enforce_call function unconditionally merges raw JSON from the HTTP request into the policy dictionary, overwriting trusted data from database lookups. This allows an authenticated user to inject arbitrary attributes (e.g., user_id, project_id) and bypass access controls.

CVE-2026-42998
Medium

W aplikacji OpenStack Keystone przed wersją 29.0.2 występuje problem z weryfikacją użytkownika wtyczki uwierzytelniania aplikacji. Atakujący może uwierzytelnić się za pomocą własnego identyfikatora i sekretu aplikacji, podając jednocześnie nazwę i domenę innego użytkownika, co prowadzi do wydania tokena przypisanego do ofiary.

CVE-2026-46561
Medium

pyLoad to darmowy i otwartoźródłowy menedżer pobierania napisany w Pythonie. W wersjach przed 0.5.0b3.dev100, sprawdzenie prywatnego adresu IP oparte na PREREQFUNCTION nie było stosowane do HTTPRequest, co umożliwiało atakującemu ominięcie kontroli is_global_host() poprzez dostarczenie URL wskazującego na serwer kontrolowany przez atakującego.

CVE-2026-45307
Medium

Speakr to osobista, samodzielnie hostowana aplikacja webowa do transkrypcji nagrań audio. W wersjach przed 0.8.20-alpha, pomocnicza funkcja is_safe_url() nieprawidłowo walidowała cele przekierowań po zalogowaniu, co mogło prowadzić do przekierowania na złośliwe adresy URL.

CVE-2026-45306
Medium

pyLoad to darmowy i otwartoźródłowy menedżer pobierania napisany w Pythonie. W wersjach przed 0.5.0b3.dev100, poprawka dla CVE-2026-33509 nie chroniła katalogu sesji Flask (/tmp/pyLoad/flask), co pozwalało uwierzytelnionemu atakującemu na ustawienie storage_folder na ten katalog i pobranie plików sesji innych użytkowników.

CVE-2026-44796
Medium

Nautobot, jako platforma automatyzacji sieci, miał podatność w interfejsie użytkownika na końcówkach obiektów do masowego zmieniania nazw, które mogły prowadzić do ogólnego odmowy usługi. Problem ten dotyczył wersji przed 2.4.33 i 3.1.2, gdzie złośliwie skonstruowane wyrażenia regularne mogły powodować awarie aplikacji.

CVE-2026-44794
Medium

Nautobot, platforma automatyzacji sieci, ma lukę w wersjach przed 2.4.33 i 3.1.2, która dotyczy referencji między obiektami za pomocą GenericForeignKey. Podczas tworzenia lub aktualizacji obiektu z GenericForeignKey, API REST Nautobota nie egzekwowało uprawnień 'widoku' użytkownika, co mogło prowadzić do nieautoryzowanego dostępu.

CVE-2026-9091
Medium

Wersje Casdoor 2.362.0 i wcześniejsze zawierają błąd logiczny w procesie powiązania logowania społecznościowego, który pozwala użytkownikom na ominięcie wymagań dotyczących wieloskładnikowego uwierzytelniania (MFA). Kod reguły powiązania w pliku controllers/auth.go wywołuje HandleLoggedIn bez sprawdzania włączenia MFA.

CVE-2026-47676
Medium

Hono to framework aplikacji webowych wspierający dowolne środowisko JavaScript. W wersjach przed 4.12.21, metoda app.mount() usuwała prefiks montowania z przychodzącej ścieżki żądania w sposób nieprawidłowy, co prowadziło do błędnego przekazywania ścieżki do podaplikacji w przypadku użycia wielobajtowych znaków zakodowanych procentowo.

CVE-2026-47675
Medium

Hono to framework aplikacji webowych wspierający dowolne środowisko JavaScript. W wersjach przed 4.12.21 funkcja serialize() w hono/cookie walidowała opcje domeny i ścieżki, ale nie stosowała tej samej walidacji dla sameSite i priority, co mogło prowadzić do wstrzyknięcia dodatkowych atrybutów przez atakującego.

CVE-2026-47674
Medium

Hono to framework aplikacji webowych wspierający dowolne środowisko JavaScript. W wersjach przed 4.12.21, middleware do ograniczenia IP porównywał przychodzące adresy IP z skonfigurowanymi regułami za pomocą równości ciągów po częściowej normalizacji, co prowadziło do pomijania niekanonicznych reprezentacji IPv6.

CVE-2026-47673
Medium

Hono to framework aplikacji webowych wspierający dowolne środowisko JavaScript. W wersjach przed 4.12.21, middleware jwt i jwk nie weryfikowały, czy wartość nagłówka Authorization używa schematu Bearer, co pozwalało na autoryzację z użyciem poprawnego JWT pod innym identyfikatorem schematu.

CVE-2026-45292
Medium

A vulnerability in the baggage propagation implementation in opentelemetry-java before version 1.62.0 causes unbounded memory allocation and CPU consumption when parsing oversized baggage. Since baggage is automatically re-injected into every outgoing request, the effect can fan out to downstream services that never received the original malicious request.

CVE-2026-45078
Medium

Synapse to otwartoźródłowa implementacja serwera domowego Matrix. Przed wersją 1.152.1, lokalni uwierzytelnieni użytkownicy mogli spowodować, że Synapse zablokuje inne żądania CPU, co prowadziło do ich niepowodzenia i odmowy usługi dla innych użytkowników.

PreviousPage 208 of 560Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS