Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-34873
Krytyczne

W Mbed TLS w wersjach od 3.5.0 do 4.0.0 odkryto problem, który pozwala na podszywanie się pod klienta podczas wznawiania sesji TLS 1.3.

CVE-2026-34520
Krytyczne

AIOHTTP to asynchroniczny framework HTTP dla asyncio i Pythona. W wersjach przed 3.13.4, parser C (domyślny w większości instalacji) akceptował bajty null i znaki kontrolne w nagłówkach odpowiedzi. Problem ten został naprawiony w wersji 3.13.4.

CVE-2026-34872
Krytyczne

W Mbed TLS w wersjach 3.5.x i 3.6.x do 3.6.5 oraz TF-PSA-Crypto 1.0 odkryto problem związany z brakiem zachowania przyczynowego w FFDH z powodu niewłaściwej walidacji danych wejściowych. Używając Diffie-Hellmana w polu skończonym, druga strona może wymusić, aby wspólny sekret znalazł się w małym zbiorze wartości.

CVE-2026-34456
Krytyczne

Reviactyl to otwartoźródłowy panel zarządzania serwerem gier, który miał podatność w procesie uwierzytelniania OAuth. W wersjach od 26.2.0-beta.1 do przed 26.2.0-beta.5, atakujący mógł automatycznie powiązać konta społecznościowe na podstawie dopasowania adresów e-mail, co prowadziło do przejęcia konta ofiary bez znajomości hasła.

CVE-2026-34875
Krytyczne

W Mbed TLS do wersji 3.6.5 oraz TF-PSA-Crypto 1.0.0 odkryto problem związany z przepełnieniem bufora, który może wystąpić podczas eksportu kluczy publicznych dla kluczy FFDH.

CVE-2026-34751
Krytyczne

Payload to darmowy i otwarty system zarządzania treścią bez interfejsu graficznego. Przed wersją 3.79.1 w @payloadcms/graphql i payload występowała podatność w procesie odzyskiwania hasła, która mogła pozwolić nieautoryzowanemu atakującemu na wykonywanie działań w imieniu użytkownika inicjującego reset hasła.

CVE-2026-34159
Krytyczne

W wersjach przed b8492 biblioteka llama.cpp, odpowiedzialna za inferencję modeli LLM, nie przeprowadzała walidacji granic w funkcji deserialize_tensor() dla pól bufora tensorów równych 0. To pozwalało nieautoryzowanym atakującym na odczyt i zapis dowolnej pamięci procesu poprzez spreparowane wiadomości GRAPH_COMPUTE.

CVE-2026-33990
Krytyczne

Docker Model Runner (DMR) przed wersją 1.1.25 zawiera podatność SSRF w procesie wymiany tokenów OCI. Atakujący może wykorzystać tę lukę, aby Model Runner wykonywał dowolne żądania GET do wewnętrznych usług, co może prowadzić do ujawnienia danych.

CVE-2026-30643
Krytyczne

W DedeCMS w wersji 5.7.118 odkryto problem, który pozwala atakującym na wykonanie kodu poprzez spreparowane wartości tagów konfiguracyjnych podczas przesyłania modułów.

CVE-2026-20160
KrytyczneEPSS 56%

Podatność w Cisco Smart Software Manager On-Prem (SSM On-Prem) pozwala nieuwierzytelnionemu, zdalnemu atakującemu na wykonanie dowolnych poleceń na systemie operacyjnym hosta. Problem wynika z niezamierzonego udostępnienia wewnętrznego serwisu.

CVE-2026-20093
Krytyczne

Podatność w funkcjonalności zmiany hasła w Cisco Integrated Management Controller (IMC) umożliwia nieautoryzowanemu, zdalnemu atakującemu ominięcie uwierzytelnienia i uzyskanie dostępu do systemu jako Administrator. Problem wynika z nieprawidłowego przetwarzania żądań zmiany hasła.

CVE-2024-43028
Krytyczne

W komponentach /jmreport/show w jeecg boot w wersjach od 3.0.0 do 3.5.3 występuje podatność na wstrzykiwanie poleceń, która pozwala atakującym na wykonanie dowolnego kodu za pomocą odpowiednio skonstruowanego żądania HTTP.

CVE-2024-40489
Krytyczne

W wersjach 3.0.0 do 3.5.3 jeecg boot występuje podatność na wstrzykiwanie z powodu niedostatecznego filtrowania znaków, co umożliwia atakującym wykonanie dowolnego kodu na komponentach poprzez specjalnie przygotowane żądania HTTP.

CVE-2026-31027
Krytyczne

TOTOlink A3600R w wersji v5.9c.4959 zawiera podatność na przepełnienie bufora w interfejsie setAppEasyWizardConfig w pliku /lib/cste_modules/app.so. Problem wynika z niewłaściwej walidacji długości parametru rootSsid, co pozwala zdalnym atakującym na wywołanie przepełnienia bufora, co może prowadzić do wykonania dowolnego kodu lub odmowy usługi.

CVE-2026-29014
Krytyczne

MetInfo CMS w wersjach 7.9, 8.0 i 8.1 zawiera podatność na wstrzykiwanie kodu PHP, która nie wymaga uwierzytelnienia. Atakujący mogą wysyłać spreparowane żądania z złośliwym kodem PHP, co pozwala na zdalne wykonanie dowolnego kodu.

CVE-2026-4370
Krytyczne

Zidentyfikowano podatność w Juju od wersji 3.2.0 do 3.6.19 oraz od wersji 4.0 do 4.0.4, gdzie wewnętrzny klaster bazy danych Dqlite nie przeprowadza właściwej autoryzacji TLS dla klientów i serwerów. Punkt końcowy bazy danych kontrolera Juju nie weryfikuje certyfikatów klientów, co pozwala nieautoryzowanemu atakującemu dołączyć do klastra bazy danych.

CVE-2025-15484
Krytyczne

Wtyczka Order Notification dla WooCommerce w WordPressie przed wersją 3.6.3 narusza kontrole uprawnień WooCommerce, co pozwala na pełny dostęp do wszystkich nieautoryzowanych żądań. Umożliwia to całkowity dostęp do zasobów sklepu, takich jak produkty, kupony i klienci.

CVE-2026-5290
Krytyczne

Wykorzystanie po zwolnieniu pamięci w procesie kompozycji w Google Chrome przed wersją 146.0.7680.178 umożliwia zdalnemu atakującemu, który przejął proces renderowania, potencjalne wykonanie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.

CVE-2026-5289
Krytyczne

W Google Chrome przed wersją 146.0.7680.178 występowała podatność typu use after free w nawigacji, która mogła pozwolić zdalnemu atakującemu, mającemu kontrolę nad procesem renderowania, na potencjalne wykonanie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.

CVE-2026-5288
Krytyczne

Wykorzystanie po zwolnieniu pamięci w WebView w Google Chrome na Androidzie przed wersją 146.0.7680.178 umożliwia zdalnemu atakującemu, który przejął proces renderowania, potencjalne wykonanie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.

PoprzedniaStrona 119 z 557Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS