Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-56783
Średnie

Podatność w Parseable przed wersją 2.9.2 ujawnia tokeny webhook i dane uwierzytelniające basic-auth w postaci jawnego tekstu w odpowiedziach API endpointów powiadomień. Wynika to z zakomentowania funkcji maskowania sekretów, co pozwala każdemu uwierzytelnionemu użytkownikowi z akcją GetAlert, w tym rolom o niskich uprawnieniach, na odzyskanie tych danych.

CVE-2026-56782
Krytyczne

Podatność w systemie Gorse przed wersją 0.5.10 umożliwia ominięcie uwierzytelniania w endpointach /api/dump i /api/restore. Atakujący bez uwierzytelnienia może wyeksfiltrować całą bazę danych zawierającą dane osobowe użytkowników lub całkowicie nadpisać zbiór danych.

CVE-2026-56781
Średnie

Podatność w Teable przed wersją z 15 czerwca 2026 roku umożliwia anonimowym atakującym dostęp do ukrytych danych pól poprzez podanie dowolnych identyfikatorów pól w parametrze projekcji endpointu widoku udostępnionego. Atakujący mogą wyliczyć identyfikatory ukrytych pól z metadanych udostępnienia i odczytać wartości pól, które powinny być niedostępne publicznie.

CVE-2026-56780
Wysokie

Podatność w Modoboa przed wersją 2.9.0 w punkcie końcowym PUT /api/v1/accounts/{pk}/password/ umożliwia niebezpieczne bezpośrednie odwołanie do obiektu (IDOR). Administratorzy domen mogą zmienić hasło dowolnego użytkownika, w tym superadministratora, co prowadzi do pełnego przejęcia konta.

CVE-2026-56285
Wysokie

Podatność w Nitter pozwala nieuwierzytelnionym atakującym na wykorzystanie punktu końcowego proxy mediów /video do wysyłania żądań HTTP do dowolnych hostów osiągalnych przez serwer, w tym do usług metadanych chmury i zasobów sieci wewnętrznej. Problem wynika z braku walidacji docelowych adresów URL względem domen Twitter/X oraz użycia zakodowanego na stałe domyślnego klucza HMAC.

CVE-2026-36848
Wysokie

Podatność Directory Traversal w systemie Gigamon GVOS w wersji 5.16.1 i niższych, występująca w podsystemie H-VUE, umożliwia nieautoryzowany dostęp do plików poza katalogiem głównym aplikacji.

CVE-2026-13592
Wysokie

W komponencie EtherNet IP Message Handler biblioteki CIPster (wersje do e8e9dba09bf56962807d3504b783ccdb6287f3e4) wykryto podatność polegającą na zapisie poza dozwolonym obszarem pamięci w funkcji BufWriter::append. Atak zdalny jest możliwy, a exploit został opublikowany.

CVE-2026-11720
Krytyczne

W narzędziu HTTP tool URL builder biblioteki googleapis/mcp-toolbox wykryto podatność na path traversal. Podczas konstruowania zapytań API, atakujący może dostarczyć parametry ścieżki zawierające sekwencje przejścia do katalogu nadrzędnego (../), co pozwala na ominięcie ograniczeń ścieżki i dostęp do nieautoryzowanych zasobów na tym samym hoście docelowym.

CVE-2026-13752
Średnie

W Snowflake CLI w wersjach starszych niż 3.19 stwierdzono podatność na nieprawidłową neutralizację parametrów, umożliwiającą niezamierzone wykonanie zapytań SQL. Atakujący może wykorzystać to przez dostarczenie spreparowanych wartości do podatnych ścieżek poleceń, co prowadzi do wykonania niezamierzonego SQL w kontekście sesji użytkownika Snowflake.

CVE-2026-13751
Średnie

Podatność w Snowflake CLI przed wersją 3.19 umożliwia fałszowanie żądań po stronie serwera (SSRF) poprzez nieprawidłowe obsługiwanie niezaufanych zdalnych referencji w dyrektywach !source/!load. Atakujący może dostarczyć spreparowane zapytanie SQL, które po przetworzeniu przez podatną ścieżkę poleceń spowoduje wysłanie nieautoryzowanych żądań do wewnętrznych lub niepublicznych zasobów sieciowych oraz zdalne pobranie i wykonanie kodu SQL w kontekście ofiary.

CVE-2026-13591
Średnie

W komponencie Contact Tracking biblioteki DeepMyst Mysti 0.4.0 wykryto słabość polegającą na nieprawidłowej autoryzacji w funkcji _isTrackedConversation pliku src/managers/ChannelBridge.ts. Atak może być przeprowadzony zdalnie, ale wymaga wysokiego stopnia złożoności i jest uznawany za trudny do wykorzystania. Publicznie udostępniono exploit, co zwiększa ryzyko ataków.

CVE-2026-13590
Średnie

W bibliotece PcapPlusPlus 25.05 odkryto podatność w funkcji pcpp::ModbusLayer::getLength w pliku ModbusLayer.h. Manipulacja argumentem długości prowadzi do przepełnienia bufora sterty, co może być zdalnie wykorzystane przez atakującego.

CVE-2026-13589
Średnie

W bibliotece PcapPlusPlus 25.05 w funkcji pcpp::TelnetLayer::getSubCommand pliku TelnetLayer.cpp występuje podatność na przepełnienie bufora sterty. Atak może być przeprowadzony zdalnie, ale jest trudny do wykorzystania. Exploit jest publicznie dostępny.

CVE-2026-13588
Średnie

W bibliotece PcapPlusPlus 25.05 w funkcji pcpp::SSLClientHelloMessage::getHandshakeVersion pliku SSLHandshake.cpp wykryto podatność na przepełnienie bufora sterty. Atakujący może zdalnie manipulować argumentem handshakeVersion, co prowadzi do przepełnienia bufora. Złożoność ataku jest wysoka, a jego wykorzystanie uznawane za trudne, jednak exploit został publicznie ujawniony.

CVE-2026-12912
Wysokie

W bibliotece libtiff odkryto podatność, która pozwala zdalnemu atakującemu na wykonanie kodu lub wywołanie odmowy usługi (DoS) poprzez dostarczenie specjalnie spreparowanego obrazu TIFF skompresowanego kodekiem PixarLog. Problem występuje podczas dekodowania obrazów PixarLog z formatem wyjściowym PIXARLOGDATAFMT_8BITABGR i określoną wartością kroku (stride), co prowadzi do przepełnienia bufora sterty.

CVE-2026-12672
Nieznane

To CVE zostało odrzucone i nie powinno być używane. Numer kandydata został wydany błędnie, a wszystkie odniesienia i opisy usunięto, aby zapobiec przypadkowemu wykorzystaniu.

CVE-2026-9105
Średnie

Podatność przepełnienia bufora stosu w interfejsie zarządzania sieciowego routera TP-Link TL-WR841N v14 umożliwia uwierzytelnionemu atakującemu zdalne spowodowanie awarii urządzenia poprzez wysłanie spreparowanego żądania HTTP. Skuteczne wykorzystanie prowadzi do odmowy usługi (DoS), powodując crash i automatyczny restart urządzenia.

CVE-2026-41052
Wysokie

W Rancher w wersjach 2.14 przed 2.14.2, 2.13 przed 2.13.6 oraz 2.12 przed 2.12.10 użytkownicy z rolą Project Owner mogą wykorzystać nieprawidłowe zarządzanie uprawnieniami do eskalacji swoich przywilejów.

CVE-2026-13750
Średnie

W wersjach Snowflake CLI starszych niż 3.19 poufne dane uwierzytelniające (hasła, tokeny, klucze prywatne) były zapisywane w postaci jawnej do lokalnych plików dziennika debugowania. Atakujący z dostępem do tych plików mógł przejąć dane logowania.

CVE-2026-13749
Wysokie

Podatność w Snowflake CLI przed wersją 3.19 umożliwia zdalne wykonanie kodu poprzez nieprawidłową neutralizację w szablonie wywołania zwrotnego procesora adnotacji Snowpark. Atakujący może dostarczyć spreparowaną zawartość projektu, która jest interpolowana do wygenerowanego kodu Python, co prowadzi do wykonania kodu w kontekście lokalnym użytkownika uruchamiającego CLI.

PoprzedniaStrona 102 z 4489Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS