Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.14)

CVE-2026-46580
Wysokie

W wersjach Eclipse Theia przed 1.71.0 pliki pasujące do wzorca .prompts/*.prompttemplate w przestrzeni roboczej były automatycznie ładowane, co mogło nadpisywać lub rozszerzać systemowe polecenia agenta AI. Atakujący mógł stworzyć złośliwe repozytorium zawierające pliki szablonów, które po otwarciu przestrzeni roboczej w Theia zastępowały instrukcje systemowe AI treścią kontrolowaną przez atakującego.

CVE-2026-44691
Wysokie

W wersjach Eclipse Theia przed 1.69.0, niestandardowe definicje zadań w plikach roboczych mogły być wykonywane bez wymogu zaufania do przestrzeni roboczej. Atakujący mógł stworzyć złośliwe repozytorium, które po sklonowaniu i otwarciu w Theia prowadziło do wykonania dowolnych poleceń z uprawnieniami użytkownika.

CVE-2026-44688
Wysokie

W wersjach Eclipse Theia przed 1.71.0 agent czatu AI przetwarzał nazwy plików i katalogów roboczych jako część kontekstu podpowiedzi, nie rozróżniając ich od instrukcji systemowych. Atakujący mógł stworzyć złośliwe repozytorium z niebezpiecznymi nazwami, co prowadziło do wykonania instrukcji kontrolowanych przez atakującego.

CVE-2025-52465
Wysokie

W GeoServer, przed wersjami 2.26.4 i 2.27.3, występuje podatność, która pozwala uwierzytelnionemu administratorowi na przekazywanie dowolnych nazw plików do strony Master Password Dump, co może prowadzić do utworzenia plików zawierających główne hasło w postaci niezaszyfrowanej.

CVE-2025-27511
Wysokie

GeoServer to otwarte oprogramowanie umożliwiające udostępnianie i edytowanie danych geograficznych. W wersjach przed 2.27.0 rozszerzenia DB2 DataStore, administrator mógł przeprowadzić atak JNDI za pomocą specjalnie skonstruowanego adresu URL jdbc DB2, co prowadziło do zdalnego wykonania kodu (RCE). Wersja 2.27.0 naprawia ten problem.

CVE-2026-56012
Wysokie

W podatności CVE-2026-56012 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w aplikacji David Lingren Media Library Assistant.

CVE-2026-54224
Wysokie

UBB.threads jest podatny na atak typu Denial of Service (DoS). Autoryzowany atakujący może wysłać wiele równoczesnych żądań do przeglądania profilu użytkownika, co prowadzi do wyczerpania zasobów bazy danych i całkowitego zablokowania dostępu do aplikacji dla innych użytkowników.

CVE-2026-54223
Wysokie

UBB.threads jest podatny na atak typu Path traversal, co pozwala atakującym z uprawnieniami do edytowania szablonów na odczyt i zapis dowolnych plików na serwerze aplikacji, co prowadzi do zdalnego wykonania kodu.

CVE-2026-54222
Wysokie

UBB.threads jest podatny na ślepą injekcję SQL, co pozwala atakującym z dostępem do panelu sterowania członków na interakcję z bazą danych. Z powodu niewystarczającej sanitizacji danych wejściowych, atakujący może wydobyć wrażliwe informacje, takie jak dane logowania użytkowników.

CVE-2026-54220
Wysokie

uBB.threads jest podatny na atak typu Cross-Site Request Forgery (CSRF) z powodu braku mechanizmów ochronnych. Atakujący może oszukać uwierzytelnionego użytkownika, zmuszając go do wykonania niezamierzonych działań.

CVE-2026-50141
Wysokie

W silniku CI/CD Woodpecker, od wersji 3.0.0 do 3.14.1, wystąpiła podatność w warstwie gRPC, która pozwalała uwierzytelnionym agentom na podszywanie się pod innych agentów na tym samym serwerze poprzez wstrzykiwanie fałszywej wartości `agent_id` do metadanych gRPC. Wersja 3.14.1 naprawia ten problem.

CVE-2026-42488
Wysokie

W niektórych ścieżkach błędów związanych z shadow paging, tablice stron mogą zostać zmienione bez aktualizacji odniesienia do aktualnie działającego vCPU. Może to prowadzić do niezgodności między załadowanymi tablicami stron a metadanymi mapcache, co z kolei może skutkować uszkodzeniem mapcache.

CVE-2026-42487
Wysokie

Dostęp do portów I/O gościa HVM jest poddawany emulacji lub przynajmniej translacji, co wymaga synchronizacji z aktualizacjami. W dotychczasowej implementacji brakowało synchronizacji podczas przetwarzania tych dostępów.

CVE-2026-40456
WysokieEPSS 56%

W systemie LMS (LAN Management System) przed commit 9fcb4de występuje podatność na wstrzykiwanie poleceń systemowych. Problem wynika z braku odpowiedniej walidacji parametru adresu IP przekazywanego do funkcji 'exec()', co umożliwia atakującym wykonywanie dowolnych poleceń systemowych.

CVE-2026-40455
Wysokie

W systemie LMS (LAN Management System) przed commitem 4cb30a7 występuje podatność na SQL Injection w module 'tarifflist.php'. Problem wynika z niewystarczającego oczyszczania parametru POST 'tg[]', co pozwala uwierzytelnionym atakującym na wykonanie ataku SQL Injection opartego na błędach i wydobycie wrażliwych informacji z bazy danych.

CVE-2026-11958
Wysokie

Podatność umożliwia lokalne podniesienie uprawnień poprzez ładowanie złośliwych bibliotek DLL z wspólnego katalogu tymczasowego w DFIR-ORC w wersjach 10.2.7 i wcześniejszych. Atakujący z dostępem do systemu może umieścić złośliwą bibliotekę DLL w C:\Windows\Temp, co pozwala na jej automatyczne załadowanie przy uruchomieniu aplikacji z uprawnieniami administratora.

CVE-2026-11719
Wysokie

W MCP Toolbox for Databases występuje podatność na obejście autoryzacji z powodu braku egzekwowania zakresu w starszych obsługiwanych wersjach protokołu. Klient z niskimi uprawnieniami może uzyskać dostęp do narzędzi o wysokich uprawnieniach, wykorzystując starszą wersję protokołu.

CVE-2026-8811
Wysokie

Wersje SEPPmail przed 15.0.5 mają problem z niewłaściwym przetwarzaniem nazw plików załączników podczas generowania zaszyfrowanych plików PDF. Atakujący może wykorzystać tę podatność do tworzenia nowych plików poza zamierzonym katalogiem.

CVE-2026-55746
Wysokie

Cotonti 1.0.0 jest podatny na przechowywane Cross-Site Scripting w module Personal File Storage (PFS). Użytkownik z autoryzacją może wprowadzić HTML/JavaScript w tytule folderu, co prowadzi do wykonania wstrzykniętego skryptu w przeglądarkach innych użytkowników.

CVE-2026-55744
Wysokie

Cotonti w wersji 1.0.0 (gałąź master, commit f43f1fc3) jest podatny na atak Cross-Site Request Forgery w module Personal File Storage (PFS). Akcja przesyłania plików ('a=upload') nie weryfikuje tokenu anty-CSRF, co umożliwia zdalnemu atakującemu przesyłanie dowolnych plików do PFS ofiary.

PoprzedniaStrona 111 z 3321Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS