Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-11792
Niskie

W 389 Directory Server odkryto podatność przepełnienia bufora sterty. Funkcja create_masked_entry_string() w auditlog.c kopiuje maskę hasła o stałej długości do precyzyjnie dopasowanego bufora bez sprawdzania dostępnego miejsca, co przy krótkim haśle w postaci jawnego tekstu prowadzi do przepełnienia.

CVE-2026-11786
Niskie

W 389 Directory Server wykryto błąd w parserze LDIF, który podczas importu bazy danych odczytuje dane poza przydzielonym buforem sterty przy przetwarzaniu typów atrybutów z końcowymi średnikami. Powoduje to odczyt poza zakresem, wykrywalny przy użyciu instrumentacji pamięci.

CVE-2026-11764
Niskie

Podatność CVE-2026-11764 pozwala na wyeksportowanie tajemnic powiązanych z kartami podarunkowymi, nawet jeśli użytkownik nie ma uprawnień do ich przeglądania. To narusza zasady bezpieczeństwa, ponieważ w interfejsie użytkownika i API wyświetlane są tylko pierwsze litery tajemnicy karty podarunkowej.

CVE-2026-49738
Niskie

Weryfikacja dozwolonych ścieżek w funkcji GeneralUtility::isAllowedAbsPath() nie uwzględniała granicy separatora katalogu, co pozwalało na akceptację nieprawidłowych ścieżek. Administratorzy mogli tworzyć nowe definicje przechowywania plików wskazujące na katalogi poza głównym katalogiem projektu.

CVE-2026-41986
Niskie

Podatność na obejście logiki w systemie plików. Jej wykorzystanie może wpłynąć na dostępność systemu.

CVE-2026-41974
Niskie

W podatności CVE-2026-41974 występuje luka w kontroli uprawnień w powiadomieniach serwisowych. Skuteczne wykorzystanie tej podatności może wpłynąć na dostępność systemu.

CVE-2026-8981
Niskie

Wtyczka Custom Block Builder dla WordPressa przed wersją 4.3.0 nie sprawdza konsekwentnie uprawnienia unfiltered_html w ścieżkach zapisujących do pól kodu szablonu bloku. To pozwala administratorom na instalacjach multisite (lub pojedynczych z zdefiniowanym DISALLOW_UNFILTERED_HTML) na wstrzykiwanie dowolnego JavaScriptu, który będzie wykonywany dla każdego odwiedzającego strony z osadzonym blokiem.

CVE-2026-41852
Niskie

Podatność w logice ewaluacji wyrażeń Spring Expression Language (SpEL) umożliwia wywoływanie dowolnych metod bezargumentowych, nawet w kontekstach z ograniczonymi uprawnieniami lub tylko do odczytu. Może to pozwolić atakującemu na wykonanie niezamierzonej logiki aplikacji.

CVE-2026-41848
Niskie

Podatność ReDoS w Spring Framework umożliwia atakującemu przeprowadzenie ataku typu odmowa usługi poprzez dostarczenie specjalnie spreparowanego wzorca do metod AntPathMatcher: match, matchStart oraz extractUriTemplateVariables.

CVE-2026-44743
Niskie

W określonych warunkach, gdy nieautoryzowany atakujący uzyskuje dostęp do konkretnego punktu końcowego, aplikacja SAP Business Objects ujawnia wrażliwe informacje. Ma to niski wpływ na poufność danych.

CVE-2026-11691
Niskie

Niewystarczająca walidacja nieufnych danych wejściowych na stronie nowej karty w Google Chrome przed wersją 149.0.7827.103 umożliwiła zdalnemu atakującemu, który przejął proces renderowania, wyciek danych między źródłami za pomocą spreparowanej strony HTML.

CVE-2026-11686
Niskie

Niewystarczająca walidacja nieufnych danych wejściowych w Dawn w Google Chrome na macOS przed wersją 149.0.7827.103 umożliwiła zdalnemu atakującemu, który przejął proces renderowania, wyciek danych między źródłami za pomocą spreparowanej strony HTML.

CVE-2026-11684
Niskie

Niewystarczające egzekwowanie polityki w sieci w Google Chrome przed wersją 149.0.7827.103 umożliwia zdalnemu atakującemu, który przejął proces pomocniczy, wyciek danych między źródłami za pomocą spreparowanej strony HTML.

CVE-2026-11675
Niskie

W Skia w Google Chrome przed wersją 149.0.7827.103 wystąpił błąd odczytu poza zakresem, który umożliwił zdalnemu atakującemu, który przejął proces renderera, wyciek danych między źródłami za pomocą spreparowanej strony HTML.

CVE-2026-47344
Niskie

W przypadku włączonej opcji ALLOW_INSECURE_RAW_TEXT, tagi zamykające z wariantami białych znaków (np. </style >) nie są rozpoznawane przez sanitizator, ale są akceptowane przez przeglądarki jako prawidłowe tagi końcowe. To pozwala na obejście mechanizmu zapobiegania atakom XSS w typo3/html-sanitizer przed wersją 2.3.2.

CVE-2026-11555
Niskie

Zidentyfikowano podatność w D-Link DGS-1100-08PD 1.00.006, która dotyczy nieznanego przetwarzania pliku /etc/boa.conf w interfejsie webowym. Manipulacja tym plikiem prowadzi do naruszenia zasady minimalnych uprawnień.

CVE-2026-11534
Niskie

W systemie zarządzania studentami imvks786 wykryto podatność, która umożliwia atak typu cross-site scripting (XSS) poprzez manipulację argumentami w pliku /add.php. Atak można przeprowadzić zdalnie, a exploit jest już publicznie dostępny.

CVE-2026-49756
Niskie

Podatność typu CRLF Injection w bibliotece wojtekmach Req pozwala na przemycanie parametrów multipart poprzez złośliwie zmodyfikowane metadane części. Problem wynika z braku odpowiedniego neutralizowania sekwencji CRLF w nagłówkach budowanych na podstawie danych dostarczonych przez użytkownika.

CVE-2026-48488
Niskie

phpMyFAQ to otwartoźródłowa aplikacja webowa do zarządzania FAQ. W wersjach przed 4.1.4 hasła do załączników są haszowane przy użyciu algorytmu SHA-1, który jest kryptograficznie uszkodzony i podatny na ataki kolizyjne.

CVE-2026-11520
Niskie

Zidentyfikowano słabość w systemie zarządzania zapasami SourceCodester w wersji 1.0. Problem dotyczy nieznanej funkcjonalności pliku header.php, co prowadzi do ataków typu cross-site scripting (XSS).

PoprzedniaStrona 11 z 61Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS