Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-47833
Średnie

Podatność CVE-2026-47833 dotyczy eskalacji uprawnień z kontenera do hosta poprzez manipulację plikiem bpm.log. Złośliwy proces w kontenerze bpm może zmusić system do zmiany właściciela dowolnego pliku na hoście, co prowadzi do ujawnienia haseł z pliku /etc/shadow.

CVE-2026-48986
Średnie

W wersjach pam_usb 0.9.1 i wcześniejszych występuje błąd, który może prowadzić do nieskończonej pętli DoS z powodu nieprawidłowej inicjalizacji zmiennej *ppid. W funkcji pusb_local_login() ta sama zmienna jest używana jako wejście i wyjście w pętli, co może prowadzić do zablokowania procesu uwierzytelniającego.

CVE-2026-48985
Średnie

W wersjach 0.9.1 i poniżej moduł pam_usb może powodować awarię z powodu dereferencji NULL podczas analizy wyjścia loginctl. Funkcja pusb_is_loginctl_local() wywołuje popen() i odczytuje wynik, co może prowadzić do nieokreślonego zachowania i awarii modułu PAM.

CVE-2026-48984
Średnie

W wersjach 0.9.1 i poniżej, funkcja xfree() w pam_usb zwalnia pamięć bez wcześniejszego wyzerowania zawartości bufora, co prowadzi do ujawnienia wrażliwych danych w zwolnionej pamięci. Może to umożliwić odzyskanie wartości padów lub innych materiałów uwierzytelniających z obszarów pamięci, które zostały zwolnione.

CVE-2026-56024
Średnie

Wtyczka WP EasyPay dla WordPressa zawiera lukę CSRF, która umożliwia atakującemu wykonanie nieautoryzowanych działań w kontekście zalogowanego administratora. Luka występuje we wszystkich wersjach do 4.5.0 włącznie.

CVE-2026-56022
Średnie

Webmin akceptuje podstawową autoryzację bez ciasteczek sesyjnych, gdy atakujący dostarczy nagłówek 'User-Agent: webmin', co pozwala na ominięcie dodatkowych wymagań MFA. Problem został naprawiony w wersji 2.641.

CVE-2026-56021
Średnie

Webmin umożliwia nieautoryzowanym atakującym odczyt zawartości dowolnego pliku kończącego się na .conf w katalogach modułów, z powodu podatności w wyrażeniu regularnym.

CVE-2026-55205
Średnie

Hermes WebUI w wersji przed 0.51.468 zawiera podatność na wyczerpanie zasobów w nieautoryzowanym punkcie końcowym POST /api/onboarding/oauth/start, co pozwala na nieograniczone gromadzenie stanu przepływu w pamięci oraz wątków demona.

CVE-2026-54106
Średnie

Systemy EPDS i EDS nie weryfikują nagłówków HTTP X-Forwarded-For, co pozwala zdalnemu atakującemu z przejętymi uprawnieniami administratora na ominięcie kontroli dostępu do sieci i zalogowanie się.

CVE-2026-54105
Średnie

Systemy EPDS i EDS ujawniają wrażliwe informacje o kontach poprzez punkt końcowy API 'update-profile/'. Zdalny, nieautoryzowany atakujący może wysłać żądanie z dowolnym parametrem 'user_id' i otrzymać odpowiedź JSON zawierającą informacje specyficzne dla konta, w tym powiązany adres e-mail.

CVE-2026-11982
Średnie

Grav w wersji 2.0.0-rc.9 z Admin2 w wersji 2.0.0-rc.14 zawiera podatność typu XSS (cross-site scripting) w procesie zapisywania w API stron Admin2.

CVE-2026-22551
Średnie

W wersjach Eclipse Theia przed 1.71.0, funkcja czatu AI renderowała tagi obrazów Markdown z odpowiedzi AI, co prowadziło do nieograniczonych żądań HTTP do zewnętrznych adresów URL. W połączeniu z wstrzyknięciem poleceń w złośliwym obszarze roboczym, atakujący mógł skłonić agenta AI do tworzenia adresów URL obrazów, które kodowały wrażliwe informacje.

CVE-2026-11791
Średnie

W 389 Directory Server znaleziono usterkę polegającą na tym, że podczas przeładowywania schematu funkcja attr_syntax_swap_ht() bezwarunkowo zwalnia węzły informacji o składni atrybutów, pomijając mechanizm odroczonego usuwania oparty na licznikach referencji. Jeśli administrator uruchomi przeładowanie schematu w czasie, gdy aktywne są równoczesne zapytania LDAP, wątki robocze mogą uzyskać dostęp do zwolnionej pamięci, co prowadzi do użycia po zwolnieniu lub podwójnego zwolnienia i awarii serwera.

CVE-2025-58175
Średnie

GeoServer przed wersjami 2.26.4 i 2.27.3 może pozwolić atakującemu na przeprowadzenie nieautoryzowanego ataku typu Server-Side Request Forgery (SSRF) przy użyciu `ENTITY_RESOLUTION_ALLOWLIST`. Wymaga to, aby GeoServer był skonfigurowany do używania adresu URL proxy bez ścieżki lub kończącego się ukośnikiem.

CVE-2026-56009
Średnie

W podatności CVE-2026-56009 występuje niewłaściwa neutralizacja danych wejściowych podczas generowania stron internetowych w Bricksable dla Bricks Builder, co pozwala na ataki typu Stored XSS.

CVE-2026-56007
Średnie

W podatności CVE-2026-56007 występuje niewłaściwa neutralizacja danych wejściowych podczas generowania stron internetowych w OceanWP Ocean Product Sharing, co prowadzi do możliwości wystąpienia ataków typu Stored XSS.

CVE-2026-54221
Średnie

UBB.threads jest podatny na atak typu Reflected XSS. Aplikacja niewłaściwie obsługuje dane wejściowe użytkownika w niektórych żądaniach, co pozwala atakującym na wykonanie dowolnego kodu JavaScript w kontekście przeglądarki ofiary.

CVE-2026-54219
Średnie

UBB.threads jest podatny na przechowywane XSS poprzez posty użytkowników oraz pola profilu użytkownika. Aplikacja nieprawidłowo oczyszcza dane wejściowe, co pozwala atakującym o niskich uprawnieniach na wstrzykiwanie dowolnego kodu JavaScript, który wykonuje się w przeglądarce ofiary po jej wyświetleniu.

CVE-2026-44942
Średnie

W libzypp przed wersją 17.38.13 w serii 17.x oraz przed 16.22.19 występuje podatność na przejście ścieżki w obsłudze komponentu 'path' plików .repo. Atakujący mogą wykorzystać tę lukę do wypełnienia katalogów na systemie poza pamięcią podręczną zypp zawartością.

CVE-2026-42490
Średnie

Podatność CVE-2026-42490 dotyczy sposobu, w jaki system zdobywa blokadę dla operacji związanych z zarządzaniem gośćmi w środowisku Xen. W przypadku użycia XSM/Flask, zdobycie blokady może nastąpić przed sprawdzeniem uprawnień, co stwarza ryzyko nieautoryzowanego dostępu.

PoprzedniaStrona 107 z 560Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS