Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-48591
Średnie

Podatność w bibliotece pragdave earmark pozwala na przechowywanie skryptów między atrybutami w stronach internetowych poprzez nieodpowiednie neutralizowanie wartości atrybutów HTML. Wartości atrybutów nie są odpowiednio kodowane, co umożliwia atak XSS.

CVE-2026-2675
Średnie

Brak uwierzytelnienia dla krytycznej funkcji w RTI Connext Professional (Security Plugins) umożliwia fałszowanie źródła danych. Podatność dotyczy wersji od 5.3.0 do 7.7.0 (z wyłączeniem poprawek).

CVE-2026-20265
Średnie

W wersjach Splunk AI Toolkit poniżej 5.7.4, użytkownik o niskich uprawnieniach, który nie posiada ról 'admin' lub 'power', może spowodować, że Splunk AI Toolkit wykona zewnętrzne żądania HTTP do serwera kontrolowanego przez atakującego, co może prowadzić do wycieku danych.

CVE-2026-20178
Średnie

Podatność w przeglądarkowej wersji aplikacji Cisco Webex mogła umożliwić nieautoryzowanemu, zdalnemu atakującemu przekierowanie użytkowników na złośliwą stronę internetową. Cisco załatało tę podatność, więc nie są wymagane żadne działania ze strony klientów.

CVE-2026-35069
Średnie

Dell PowerFlex Manager w wersjach przed 5.1.0.1 zawiera podatność na wstrzykiwanie SQL związaną z niewłaściwą neutralizacją specjalnych elementów używanych w poleceniach SQL. Atakujący z niskimi uprawnieniami i dostępem do sąsiedniej sieci może wykorzystać tę podatność, co prowadzi do wstrzykiwania skryptów.

CVE-2026-20246
Średnie

Podatność w interfejsie vmadmin CLI urządzenia Cisco Umbrella Virtual Appliance może pozwolić uwierzytelnionemu, lokalnemu atakującemu na podniesienie uprawnień na zaatakowanym urządzeniu. Problem wynika z niewystarczającej walidacji poleceń dostarczanych przez użytkownika.

CVE-2026-20220
Średnie

Podatność w interfejsie zarządzania opartym na sieci Cisco Crosswork Network Controller może umożliwić uwierzytelnionemu, zdalnemu atakującemu wykonanie dowolnych poleceń na dotkniętym urządzeniu. Problem wynika z niewystarczającej walidacji danych wejściowych w silniku szablonów konfiguracyjnych.

CVE-2026-1288
Średnie

Złośliwie spreparowany plik RFA podczas konwersji do FormIt w Autodesk Revit może spowodować wyłuskanie wskaźnika NULL. Udane wykorzystanie podatności prowadzi do awarii aplikacji i odmowy usługi.

CVE-2026-12515
Średnie

W Katello, będącym częścią Red Hat Satellite, wykryto lukę w funkcjonalności przesyłania treści. Niewystarczające sprawdzenie autoryzacji w kontrolerze ContentUploadsController umożliwiało użytkownikom z uprawnieniem edit_products odpytywanie o informacje o treściach w repozytoriach, do których zarządzania nie byli upoważnieni. Uwierzytelniony atakujący mógł wykorzystać ten problem do sprawdzenia, czy określone treści istnieją w niedostępnych dla niego repozytoriach.

CVE-2025-32748
Średnie

Podatność Host Header Injection w Dell PowerFlex Manager przed wersją 5.1.0.1 pozwala nieuwierzytelnionemu atakującemu z dostępem zdalnym na manipulację nagłówkami hosta, co może prowadzić do przekierowań.

CVE-2026-55748
Średnie

OpenStack Horizon przed wersją 25.7.4 generuje skrypty do pobierania plików RC OpenStack, które mogą zawierać spreparowaną nazwę projektu z metaznakami powłoki.

CVE-2026-48142
Średnie

NGINX Plus i NGINX Open Source mają podatność w module ngx_http_charset_module. Atakujący mogą wysłać odpowiednie żądania, co prowadzi do nadmiernego odczytu bufora w procesie roboczym NGINX, co może skutkować ograniczonym ujawnieniem pamięci lub restartem.

CVE-2026-48117
Średnie

Platforma detekcji dronów DroneAware była podatna na atak pre-hijackingowy konta, w którym atakujący mógł zarejestrować konto przy użyciu adresu e-mail ofiary z hasłem kontrolowanym przez atakującego, zanim ofiara aktywowała konto. Po aktywacji konta przez właściciela, hasło ustalone przez atakującego stawało się ważne, co umożliwiało przejęcie konta bez powiadomienia ofiary.

CVE-2026-40641
Średnie

Dell PowerFlex Manager w wersjach przed 5.1.0.1 zawiera podatność związaną z użyciem uszkodzonego lub ryzykownego algorytmu kryptograficznego. Nieautoryzowany atakujący zdalny może potencjalnie wykorzystać tę podatność, co prowadzi do ujawnienia informacji oraz manipulacji danymi.

CVE-2026-35162
Średnie

Dell PowerFlex Manager w wersjach przed 5.1.0.1 zawiera podatność na niewłaściwą kontrolę dostępu. Atakujący z niskimi uprawnieniami, mający zdalny dostęp, może wykorzystać tę podatność, co może prowadzić do odmowy usługi.

CVE-2026-35067
Średnie

Dell PowerFlex Manager w wersjach przed 5.1.0.1 zawiera podatność na niewłaściwą kontrolę dostępu. Atakujący z niskimi uprawnieniami, mający dostęp do sąsiedniej sieci, może wykorzystać tę podatność, co prowadzi do podniesienia uprawnień i nieautoryzowanego dostępu.

CVE-2026-12528
Średnie

W 389 Directory Server w funkcji __aclp__normalize_acltxt() w pliku aclparse.c wykryto podatność polegającą na braku walidacji długości słowa kluczowego ACI po usunięciu białych znaków. Może to prowadzić do zapisu i odczytu poza dozwolonym obszarem pamięci sterty (heap-buffer-overflow).

CVE-2026-10850
Średnie

Plane CE w wersji 1.3.1 pozwala na to, aby członek projektu o niskich uprawnieniach mógł przesłać dowolny kod HTML/JS w polu description_html podczas tworzenia elementu pracy przez API v1 intake.

CVE-2024-47477
Średnie

Dell PowerFlex Manager w wersjach przed 4.5.1.1 zawiera podatność na niewłaściwą walidację certyfikatów. Zdalny, nieautoryzowany atakujący może wykorzystać tę podatność do przeprowadzenia ataku typu man-in-the-middle w połączeniu z zatruciem pamięci podręcznej DNS.

CVE-2026-9591
Średnie

W kontrolerze NewsItemApiController w SimplCommerce przed commit 6233d73e występuje podatność na atak typu cross-site request forgery (CSRF), która pozwala nieautoryzowanemu zdalnemu atakującemu na tworzenie lub modyfikowanie elementów wiadomości jako administratora poprzez przesłanie spreparowanego formularza do `/api/news-items`, z powodu braku ochrony przed CSRF.

PoprzedniaStrona 111 z 560Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS