Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-56371
Średnie

W ImageMagick przed wersjami 7.1.2-15 i 6.9.13-40 występuje wyciek pamięci w pliku coders/txt.c podczas przetwarzania plików TXT z atrybutami tekstury. Obiekt tekstury alokowany przez ReadImage nie jest zwalniany, gdy funkcja GetTypeMetrics zawiedzie, co powoduje wyciek pamięci przy każdym przetworzeniu spreparowanego pliku TXT z atrybutem tekstury.

CVE-2026-56301
Średnie

Nuxt w wersjach 4.0.0 przed 4.4.7 oraz 3.18.0 przed 3.21.7, działając na serwerze deweloperskim (nuxt dev) w systemie Linux, wiąże serwer IPC vite-node z gniazdem Unix w abstrakcyjnej przestrzeni nazw bez ograniczeń dostępu, co pozwala lokalnym użytkownikom na enumerację i połączenie.

CVE-2026-56263
Średnie

Crawl4AI przed wersją 0.8.7 zawiera podatność na trwały skrypt między witrynami (stored XSS) w panelu monitorowania. Panel renderuje adresy URL i komunikaty błędów za pomocą innerHTML bez odpowiedniego kodowania, co pozwala atakującemu na przesłanie spreparowanego żądania indeksowania zawierającego złośliwy kod. Kod ten wykonuje się w przeglądarce operatora podczas przeglądania panelu.

CVE-2026-56234
Średnie

Capgo przed wersją 12.128.2 zawiera podatność na walidację poświadczeń w punkcie końcowym POST /functions/v1/private/validate_password_compliance, który można wywołać tylko za pomocą publicznego klucza Supabase bez uwierzytelnienia. Punkt końcowy jest zgodny z CORS i nie ma ograniczeń dotyczących liczby żądań, co umożliwia atakującym przeprowadzanie ataków typu password spraying i credential stuffing.

CVE-2026-4610
Średnie

Wtyczka ProfileGrid dla WordPressa zawiera podatność na trwałe ataki XSS poprzez parametr 'pm_author_message' w funkcji pm_send_message_to_author. Problem występuje we wszystkich wersjach do 5.9.9.2 włącznie i wynika z niedostatecznego oczyszczania danych wejściowych oraz braku kodowania wyjścia.

CVE-2026-10857
Średnie

W podatności CVE-2026-10857 występuje niewłaściwe neutralizowanie danych wejściowych podczas generowania stron internetowych, co prowadzi do podatności na ataki typu Reflected XSS w oprogramowaniu e-Commerce firmy AKIN Software.

CVE-2026-4983
Średnie

Rejestr Open VSX nie sanitizuje plików SVG przesyłanych jako ikony rozszerzeń przed ich zapisaniem, co pozwala na publikację złośliwego rozszerzenia z ikoną SVG. To prowadzi do przechowywanego ataku XSS, gdy użytkownik odwiedza bezpośrednio URL ikony.

CVE-2026-8378
Średnie

Wtyczka Frontend File Manager dla WordPressa do wersji 23.6 nie sanitizuje ani nie ucieka od nazwy pliku przesyłanej do punktu końcowego zmiany nazwy pliku, co prowadzi do podatności na przechowywane ataki Cross-Site Scripting.

CVE-2026-7842
Średnie

Wtyczka Infility Global dla WordPressa przed wersją 2.15.20 nie sanitizuje ani nie waliduje parametrów orderby i order w wywołaniach admin page import_list(), url_detail() oraz file_detail(). To umożliwia uwierzytelnionym atakującym z dostępem na poziomie Edytora lub wyższym przeprowadzenie czasowego ślepego ataku SQL i wydobycie wrażliwych danych z bazy danych.

CVE-2026-55655
Średnie

W OpenSSH wykryto podatność, która pozwala lokalnemu, nieuprzywilejowanemu atakującemu na przejęcie przekazywanych połączeń X11. Atak polega na wcześniejszym związaniu preferowanej abstrakcyjnej nazwy gniazda X, gdy przekazywanie X11 jest włączone i używane jest lokalne gniazdo UNIX. Udany atak może naruszyć poufność przekazywanego ruchu X11, w tym wrażliwą zawartość okien i dane wejściowe.

CVE-2026-55653
Średnie

W OpenSSH wykryto podatność polegającą na podwójnym zwolnieniu pamięci w ścieżce klienta Diffie-Hellman Group Exchange (DH-GEX) podczas walidacji znanych grup w trybie FIPS. Złośliwy serwer SSH może wykorzystać tę wadę, przesyłając spreparowane parametry grupy DH-GEX, co prowadzi do zakończenia procesu klienta i odmowy usługi (DoS).

CVE-2026-10645
Średnie

W systemie Zephyr w parserze katalogów ext2 brakuje pełnej walidacji struktury wpisu katalogu przed skopiowaniem nazwy i przejściem do następnego wpisu. Atakujący może dostarczyć spreparowany obraz ext2, który powoduje odczyt poza zakresem bufora bloku katalogu lub nieskończoną pętlę.

CVE-2026-54236
ŚrednieEPSS 53%

vLLM to silnik inferencji i serwowania dużych modeli językowych. W wersjach przed 0.23.1rc0, niekompletna poprawka dla CVE-2026-22778 pozwala na wyciek adresów pamięci w komunikatach błędów, co może prowadzić do ujawnienia informacji o pamięci w odpowiedziach do klientów.

CVE-2026-54235
Średnie

vLLM to silnik wnioskowania i serwowania dla dużych modeli językowych. W wersjach przed 0.23.1rc0, walidacja temperatury używała operatorów porównania, które nieprawidłowo obsługiwały wartości NaN i dodatnią nieskończoność, co prowadziło do nieokreślonego zachowania lub błędów CUDA.

CVE-2026-54233
Średnie

vLLM to silnik inferencji i serwowania dużych modeli językowych. W wersjach przed 0.23.1rc0, punkt końcowy /v1/audio/transcriptions ograniczał rozmiar przesyłanych plików skompresowanych, ale nie dekodowanych danych PCM, co mogło prowadzić do nadmiernego zużycia zasobów.

CVE-2026-47155
Średnie

vLLM to silnik inferencji i serwowania dużych modeli językowych. W wersjach przed 0.22.0, kontrola wersji nie stosuje się konsekwentnie do wszystkich artefaktów ładowanych dla modelu, co może prowadzić do ładowania niezweryfikowanych komponentów.

CVE-2026-56698
Średnie

Wersje Nuxt 4.0.0 przed 4.4.7 oraz 3.x przed 3.21.7 nie walidują URL-i z możliwością skryptów w opcji open metody navigateTo, co pozwala na wykonanie skryptów po stronie klienta. Atakujący mogą dostarczyć URL-e javascript: przez parametr open, co umożliwia wykonanie dowolnych skryptów w kontekście aplikacji.

CVE-2026-56697
Średnie

Wersje Nuxt 4.0.0 przed 4.4.7 oraz 3.x przed 3.21.7 akceptują ścieżki względne do protokołu, takie jak //evil.com, w funkcji reloadNuxtApp. Te ścieżki przechodzą kontrolę protokołu skryptu, ale prowadzą do adresów URL z innego źródła w stosunku do bieżącego protokołu strony.

CVE-2026-56357
Średnie

n8n w wersjach przed 1.123.15 i 2.5.0 zawiera podatność na fałszowanie webhooków w węźle GitHub Webhook Trigger, która nie implementuje weryfikacji podpisu HMAC-SHA256. Atakujący, znając URL webhooka, mogą wysyłać niesigned POST requests, aby uruchomić workflow z dowolnymi danymi, podszywając się pod zdarzenia webhooków GitHub.

CVE-2026-56326
Średnie

Wersje Nuxt 4.0.0 przed 4.4.7 oraz 3.x przed 3.21.7 zawierają podatność na otwarte przekierowanie po stronie serwera w funkcji navigateTo, która nieprawidłowo waliduje znormalizowane ścieżki. Atakujący mogą wykorzystać techniki normalizacji ścieżek, aby przekierować użytkowników na kontrolowane przez siebie strony.

PoprzedniaStrona 103 z 569Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS