Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-39399
Krytyczne

W NuGet Gallery, repozytorium pakietów dla nuget.org, występuje podatność związana z obsługą plików .nuspec w zadaniach backendowych. Atakujący może dostarczyć spreparowany plik nuspec z złośliwymi metadanymi, co prowadzi do wstrzykiwania metadanych między pakietami, co może skutkować zdalnym wykonaniem kodu (RCE) oraz nieautoryzowanym zapisem blobów z powodu niewystarczającej walidacji wejścia.

CVE-2026-35033
Krytyczne

Jellyfin to serwer multimedialny typu open source, który w wersjach przed 10.11.7 zawiera podatność na nieautoryzowane odczyty plików poprzez wstrzykiwanie argumentów ffmpeg w mechanizmie analizy parametrów zapytania StreamOptions. Metoda ParseStreamOptions dodaje parametry zapytania do słownika bez walidacji, co pozwala na wstrzyknięcie złośliwego filtru drawtext.

CVE-2026-35031
Krytyczne

Jellyfin to otwartoźródłowy serwer multimedialny, który w wersjach przed 10.11.7 zawiera łańcuch podatności w punkcie końcowym przesyłania napisów. Pole Format nie jest walidowane, co pozwala na przejście ścieżki przez rozszerzenie pliku i umożliwia zapis dowolnych plików.

CVE-2026-34457
Krytyczne

OAuth2 Proxy to reverse proxy, który zapewnia uwierzytelnianie przy użyciu dostawców OAuth2. W wersjach przed 7.15.2 występuje luka w uwierzytelnianiu zależna od konfiguracji, która pozwala na ominięcie uwierzytelnienia w określonych warunkach, umożliwiając atakującym dostęp do chronionych zasobów.

CVE-2026-39907
Krytyczne

Wersje 3.0.3960.22810 i 3.0.3960.22604 Unisys WebPerfect Image Suite udostępniają nieautoryzowany punkt końcowy WCF SOAP na porcie TCP 1208, który akceptuje niesanitizowane ścieżki plików w parametrze LFName akcji ReadLicense. Umożliwia to zdalnym atakującym inicjowanie połączeń SMB i wyciek haseł kont maszynowych NTLMv2.

CVE-2026-39906
Krytyczne

Wersje 3.0.3960.22810 i 3.0.3960.22604 Unisys WebPerfect Image Suite narażają na ataki zdalne poprzez przestarzały kanał TCP .NET Remoting, co pozwala na wyciek haszy kont maszynowych NTLMv2. Atakujący mogą wykorzystać techniki unmarshalling obiektów, aby dostarczyć ścieżkę UNC jako argument pliku docelowego.

CVE-2026-27304
Krytyczne

Wersje ColdFusion 2023.18, 2025.6 i wcześniejsze są podatne na lukę związaną z niewłaściwą walidacją danych wejściowych, co może prowadzić do wykonania dowolnego kodu w kontekście aktualnego użytkownika. Wykorzystanie tej luki nie wymaga interakcji ze strony użytkownika.

CVE-2026-5752
Krytyczne

Podatność typu 'sandbox escape' w Terrarium umożliwia wykonanie dowolnego kodu z uprawnieniami roota na procesie hosta poprzez przechodzenie po łańcuchu prototypów JavaScript.

CVE-2026-34615
Krytyczne

Wersje Adobe Connect 2025.3, 12.10 i wcześniejsze są podatne na atak związany z deserializacją niezaufanych danych, co może prowadzić do wykonania dowolnego kodu w kontekście aktualnego użytkownika. Atakujący może wykorzystać tę podatność do wstrzyknięcia złośliwych skryptów na stronę internetową.

CVE-2026-33824
Krytyczne

Podatność CVE-2026-33824 dotyczy podwójnego zwolnienia pamięci w rozszerzeniu IKE systemu Windows, co pozwala nieautoryzowanemu atakującemu na wykonanie kodu przez sieć.

CVE-2026-27303
Krytyczne

Wersje Adobe Connect 2025.3, 12.10 i wcześniejsze są podatne na atak związany z deserializacją niezaufanych danych, co może prowadzić do wykonania dowolnego kodu w kontekście aktualnego użytkownika. Wykorzystanie tej podatności wymaga interakcji użytkownika, który musi odwiedzić złośliwie przygotowany adres URL lub wchodzić w interakcję z zainfekowaną stroną internetową.

CVE-2026-27246
Krytyczne

Wersje Adobe Connect 2025.3, 12.10 i wcześniejsze są podatne na atak typu Cross-Site Scripting (XSS) oparty na DOM. Atakujący może wykorzystać tę podatność do wstrzykiwania złośliwych skryptów na stronę internetową, co może prowadzić do uzyskania podwyższonych uprawnień lub kontroli nad kontem ofiary lub jej sesją.

CVE-2026-27245
Krytyczne

Wersje Adobe Connect 2025.3, 12.10 i wcześniejsze są podatne na odzwierciedloną podatność typu Cross-Site Scripting (XSS). Atakujący może wykorzystać tę podatność do wstrzykiwania złośliwych skryptów na stronę internetową, co może prowadzić do uzyskania podwyższonych uprawnień lub kontroli nad kontem ofiary lub jej sesją.

CVE-2026-27243
Krytyczne

Wersje Adobe Connect 2025.3, 12.10 i wcześniejsze są podatne na odzwierciedloną podatność typu Cross-Site Scripting (XSS). Atakujący może wykorzystać tę podatność do wstrzykiwania złośliwych skryptów na stronę internetową, co może prowadzić do uzyskania podwyższonych uprawnień lub kontroli nad kontem ofiary lub jej sesją.

CVE-2026-26149
Krytyczne

Nieprawidłowe neutralizowanie sekwencji ucieczki, meta lub kontrolnych w Microsoft Power Apps umożliwia autoryzowanemu atakującemu przeprowadzenie spoofingu w sieci.

CVE-2025-70023
Krytyczne

W wersji 0.25.6 biblioteki transloadit uppy odkryto problem związany z CWE-843: Dostęp do zasobu przy użyciu niekompatybilnego typu.

CVE-2026-39813
KrytyczneEPSS 97%

W podatności typu przejście ścieżki ('path traversal') w Fortinet FortiSandbox w wersjach 5.0.0 do 5.0.5 oraz 4.4.0 do 4.4.8, atakujący może uzyskać podwyższone uprawnienia poprzez specjalnie przygotowane żądania HTTP.

CVE-2026-39808
Krytyczne

W Fortinet FortiSandbox w wersjach od 4.4.0 do 4.4.8 występuje podatność na wstrzyknięcie poleceń systemowych z powodu niewłaściwego neutralizowania specjalnych elementów. Atakujący może wykorzystać tę lukę do wykonania nieautoryzowanego kodu lub poleceń.

CVE-2026-38526
Krytyczne

W Webkul Krayin CRM w wersji 2.2.x występuje podatność na uwierzytelnione przesyłanie dowolnych plików w punkcie końcowym /admin/tinymce/upload, co pozwala atakującym na wykonanie dowolnego kodu poprzez przesłanie spreparowanego pliku PHP.

CVE-2025-65135
Krytyczne

W systemie zarządzania szkołą manikandan580 w wersji 1.0 występuje podatność na ślepe wstrzykiwanie SQL oparte na czasie w pliku /studentms/admin/between-date-reprtsdetails.php, wykorzystująca parametr POST 'fromdate'.

PoprzedniaStrona 105 z 557Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS