Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-40884
Krytyczne

goshs to prosty serwer HTTP napisany w Go. W wersjach przed 2.0.0-beta.6 występuje luka w autoryzacji SFTP, gdy używana jest dokumentowana składnia podstawowej autoryzacji z pustą nazwą użytkownika. Serwer uruchomiony z opcjami -b ':pass' oraz -sftp akceptuje tę konfigurację, ale nie instaluje żadnego handlera haseł SFTP.

CVE-2026-40372
KrytyczneEPSS 95%

Podatność w ASP.NET Core wynika z nieprawidłowej weryfikacji podpisu kryptograficznego, co umożliwia nieautoryzowanemu atakującemu zdalne podniesienie uprawnień w sieci.

CVE-2026-41193
Krytyczne

FreeScout to darmowy, samodzielnie hostowany system pomocy technicznej i wspólnej skrzynki pocztowej. Przed wersją 1.8.215, funkcja instalacji modułów w FreeScout rozpakowywała archiwa ZIP bez weryfikacji ścieżek plików, co pozwalało uwierzytelnionemu administratorowi na dowolne zapisywanie plików na systemie plików serwera za pomocą specjalnie przygotowanego archiwum ZIP. Wersja 1.8.215 naprawia tę podatność.

CVE-2026-5652
Krytyczne

W podatności CVE-2026-5652 występuje niebezpieczne bezpośrednie odniesienie do obiektu w komponencie API użytkowników Crafty Controller, co pozwala zdalnemu, uwierzytelnionemu atakującemu na wykonywanie działań modyfikacji użytkowników z powodu niewłaściwej walidacji uprawnień API.

CVE-2026-40576
Krytyczne

W excel-mcp-server, który jest serwerem Model Context Protocol do manipulacji plikami Excel, występuje podatność na traversję ścieżki w wersjach do 0.1.7. Atakujący bez uwierzytelnienia może zdalnie odczytywać, zapisywać i nadpisywać dowolne pliki na systemie plików hosta, wykorzystując odpowiednio skonstruowane argumenty ścieżki.

CVE-2026-40569
Krytyczne

FreeScout to darmowy, samodzielnie hostowany system pomocy technicznej i wspólna skrzynka pocztowa. W wersjach przed 1.8.213 występuje podatność na masowe przypisanie w ustawieniach połączenia skrzynki pocztowej, co pozwala uwierzytelnionemu administratorowi na nadpisanie krytycznych pól modelu Mailbox.

CVE-2026-40050
Krytyczne

CrowdStrike wydał aktualizacje zabezpieczeń w celu usunięcia krytycznej podatności na nieautoryzowany dostęp do systemu plików (CVE-2026-40050) w LogScale. Podatność ta dotyczy tylko klientów hostujących określone wersje LogScale i nie wpływa na klientów Next-Gen SIEM.

CVE-2026-38835
Krytyczne

W urządzeniu Tenda W30E V2.0 w wersji V16.01.0.21 zidentyfikowano podatność na wstrzykiwanie poleceń w funkcji formSetUSBPartitionUmount poprzez parametr usbPartitionName. Ta podatność umożliwia atakującym wykonywanie dowolnych poleceń za pomocą odpowiednio skonstruowanego żądania.

CVE-2026-40498
Krytyczne

FreeScout to darmowy, samodzielnie hostowany system pomocy technicznej i wspólnej skrzynki pocztowej. W wersjach przed 1.8.213, nieautoryzowany atakujący może uzyskać dostęp do narzędzi diagnostycznych i systemowych, które powinny być zastrzeżone dla administratorów, co prowadzi do ujawnienia wrażliwych informacji o serwerze oraz możliwości wyczerpania zasobów.

CVE-2025-41029
Krytyczne

W podatności CVE-2025-41029 w Zeon Academy Pro występuje luka typu SQL injection, która umożliwia atakującemu manipulację bazą danych poprzez wysłanie żądania POST z parametrem 'phonenumber' w pliku '/private/continue-upload.php'.

CVE-2025-15638
Krytyczne

Wersje Net::Dropbear przed 0.14 dla Perla zawierają podatną wersję libtomcrypt. Wersje te obejmują Dropbear 2019.78 lub wcześniejsze, które są dotknięte podatnościami CVE-2016-6129 i CVE-2018-12437.

CVE-2017-20230
Krytyczne

Wersje Storable przed 3.05 dla Perla mają podatność na przepełnienie stosu. Funkcja retrieve_hook przechowuje długość nazwy klasy w liczbie całkowitej ze znakiem, ale w operacjach odczytu traktuje tę długość jako liczbę bez znaku, co umożliwia atakującemu skonstruowanie danych wywołujących przepełnienie.

CVE-2026-6771
Krytyczne

Podatność polega na obejściu zabezpieczeń w komponencie bezpieczeństwa DOM. Została naprawiona w wersjach Firefox 150, Firefox ESR 140.10, Thunderbird 150 oraz Thunderbird 140.10.

CVE-2026-6768
Krytyczne

Podatność CVE-2026-6768 dotyczy obejścia środków zaradczych w komponencie Networking: Cookies. Została naprawiona w wersjach Firefox 150 i Thunderbird 150.

CVE-2026-6760
Krytyczne

Podatność CVE-2026-6760 dotyczy obejścia zabezpieczeń w komponencie Networking: Cookies. Została naprawiona w wersjach Firefox 150 i Thunderbird 150.

CVE-2026-6748
Krytyczne

Podatność w komponencie Audio/Video: Web Codecs przeglądarki Firefox i klienta poczty Thunderbird powoduje użycie niezainicjalizowanej pamięci. Luka została naprawiona w wersjach Firefox 150, Firefox ESR 140.10, Thunderbird 150 oraz Thunderbird 140.10.

CVE-2026-5965
Krytyczne

Nowa podatność w NewSoftOA pozwala na wstrzykiwanie dowolnych poleceń systemowych przez nieautoryzowanych lokalnych atakujących, co umożliwia ich wykonanie na serwerze.

CVE-2026-40496
Krytyczne

FreeScout to darmowy, samodzielnie hostowany system pomocy technicznej i wspólnej skrzynki pocztowej. W wersjach przed 1.8.213, tokeny do pobierania załączników były generowane przy użyciu słabej i przewidywalnej formuły, co umożliwiało nieautoryzowanym atakującym fałszowanie ważnych tokenów i pobieranie prywatnych załączników bez uwierzytelnienia.

CVE-2026-39861
Krytyczne

Claude Code to narzędzie do kodowania, które przed wersją 2.1.64 nie zapobiegało tworzeniu symlinków przez procesy w piaskownicy, wskazujących na lokalizacje poza obszarem roboczym. To umożliwiało ucieczkę z piaskownicy, pozwalając na zapis do dowolnych lokalizacji, co mogło prowadzić do wykonania kodu poza piaskownicą.

CVE-2026-41329
Krytyczne

OpenClaw przed wersją 2026.3.31 zawiera podatność na obejście piaskownicy, która pozwala atakującym na eskalację uprawnień poprzez dziedziczenie kontekstu heartbeat oraz manipulację parametrem senderIsOwner. Atakujący mogą wykorzystać niewłaściwą walidację kontekstu, aby obejść ograniczenia piaskownicy i uzyskać nieautoryzowaną eskalację uprawnień.

PoprzedniaStrona 103 z 561Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS