Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2017-20237
Krytyczne

Wersje Hirschmann Industrial HiVision przed 06.0.07 i 07.0.03 zawierają podatność na obejście uwierzytelniania w usłudze głównej, która pozwala nieautoryzowanym zdalnym atakującym na wykonywanie dowolnych poleceń z uprawnieniami administratora. Atakujący mogą wywoływać metody interfejsu udostępnione przez zdalną usługę, aby obejść uwierzytelnianie i uzyskać zdalne wykonanie kodu w systemie operacyjnym.

CVE-2026-28798
Krytyczne

ZimaOS, będący fork'iem CasaOS, przed wersją 1.5.3, posiadał punkt końcowy proxy (/v1/sys/proxy) w interfejsie webowym, który mógł być nadużyty do wysyłania żądań do wewnętrznych usług localhost. To prowadziło do nieautoryzowanego dostępu do wewnętrznych punktów końcowych i wrażliwych usług lokalnych, gdy produkt był dostępny z Internetu przez Cloudflare Tunnel.

CVE-2026-32186
Krytyczne

Podatność typu server-side request forgery (SSRF) w Microsoft Bing umożliwia nieautoryzowanemu atakującemu podniesienie uprawnień w sieci. Atakujący może wykorzystać tę lukę do przeprowadzenia nieautoryzowanych działań w systemie.

CVE-2026-0545
KrytyczneEPSS 90%

W mlflow/mlflow endpointy FastAPI dla zadań pod `/ajax-api/3.0/jobs/*` nie są chronione autoryzacją ani uwierzytelnianiem, gdy włączona jest aplikacja `basic-auth`. Nawet jeśli włączono uwierzytelnianie podstawowe, każdy klient sieciowy może bez poświadczeń przesyłać, odczytywać, wyszukiwać i anulować zadania, co omija mechanizm uwierzytelniania.

CVE-2026-28373
Krytyczne

Aplikacja desktopowa Stackfield przed wersją 1.10.2 dla macOS i Windows zawiera podatność na przejście ścieżki w niektórych funkcjonalnościach deszyfracji podczas przetwarzania właściwości filePath. Złośliwy eksport może zapisać dowolną zawartość w dowolnej lokalizacji na systemie plików ofiary.

CVE-2026-35216
Krytyczne

Budibase to otwartoźródłowa platforma low-code. Przed wersją 3.33.4, nieautoryzowany atakujący mógł uzyskać zdalne wykonanie kodu (RCE) na serwerze Budibase, uruchamiając automatyzację zawierającą krok Bash za pośrednictwem publicznego punktu końcowego webhook. Nie jest wymagana autoryzacja do wywołania exploita.

CVE-2026-31818
Krytyczne

Budibase to otwartoźródłowa platforma low-code. Przed wersją 3.33.4 występuje podatność typu server-side request forgery (SSRF) w konektorze źródła danych REST, ponieważ mechanizm ochrony przed SSRF (czarna lista IP) jest nieskuteczny z powodu braku domyślnego ustawienia zmiennej środowiskowej BLACKLIST_IPS w oficjalnych konfiguracjach wdrożeniowych.

CVE-2026-31402
Krytyczne

W jądrze Linux wykryto podatność w NFSv4.0, gdzie bufor replikacji LOCK (112 bajtów) jest przepełniany przez odpowiedź odmowy zawierającą długiego właściciela blokady (do 1024 bajtów). Atakujący może zdalnie wywołać przepełnienie sterty (slab-out-of-bounds) o 944 bajty, uszkadzając sąsiednią pamięć.

CVE-2026-23427
Krytyczne

W jądrze systemu Linux zidentyfikowano podatność związana z użyciem po zwolnieniu pamięci (use-after-free) w kontekście DURABLE_REQ_V2, co może prowadzić do dereferencji nieaktualnego wskaźnika. Problem występuje w funkcji parse_durable_handle_context(), która niepoprawnie przypisuje połączenie do aktywnych uchwytów plików.

CVE-2026-33107
Krytyczne

Podatność typu server-side request forgery (SSRF) w Azure Databricks umożliwia nieautoryzowanemu atakującemu podniesienie uprawnień w sieci.

CVE-2026-33105
Krytyczne

Nieprawidłowa autoryzacja w usłudze Microsoft Azure Kubernetes Service umożliwia nieautoryzowanemu atakującemu podniesienie uprawnień w sieci.

CVE-2026-32213
Krytyczne

Nieprawidłowa autoryzacja w Azure AI Foundry umożliwia nieautoryzowanemu atakującemu podniesienie uprawnień w sieci.

CVE-2026-32211
Krytyczne

Brak uwierzytelnienia dla krytycznej funkcji w serwerze Azure MCP umożliwia nieautoryzowanemu atakującemu ujawnienie informacji przez sieć.

CVE-2026-26135
Krytyczne

Podatność CVE-2026-26135 dotyczy ataku typu server-side request forgery (SSRF) w Azure Custom Locations Resource Provider, który pozwala autoryzowanemu atakującemu na podniesienie uprawnień w sieci.

CVE-2026-35053
Krytyczne

OneUptime to platforma do monitorowania i obserwacji, która przed wersją 10.0.42 miała w usłudze Worker ManualAPI nieautoryzowane punkty końcowe do uruchamiania procesów roboczych. Atakujący, który zdobędzie lub odgadnie identyfikator procesu roboczego, może wywołać dowolne wykonanie procesu roboczego z kontrolowanymi przez siebie danymi wejściowymi.

CVE-2026-34932
Krytyczne

Hoppscotch to otwarte źródło ekosystemu do tworzenia API. Przed wersją 2026.3.0 występowała podatność na przechowywane XSS, która mogła prowadzić do ataków CSRF. Problem został naprawiony w wersji 2026.3.0.

CVE-2026-34931
Krytyczne

Hoppscotch to otwarte środowisko do tworzenia API. Przed wersją 2026.3.0 występowała podatność na otwarte przekierowanie, która prowadziła do wycieku tokenów. Dzięki tym tokenom atakujący mógł zalogować się jako ofiara i przejąć jej konto.

CVE-2026-34838
Krytyczne

Group-Office to narzędzie do zarządzania relacjami z klientami i grupowe. W wersjach przed 6.8.156, 25.0.90 i 26.0.12 występuje podatność w modelu AbstractSettingsCollection, która prowadzi do niebezpiecznej deserializacji ustawień, co umożliwia atakującemu z odpowiednimi uprawnieniami wykonanie złośliwego kodu na serwerze.

CVE-2024-14034
Krytyczne

Urządzenia Hirschmann HiEOS w wersjach przed 01.1.00 zawierają podatność na obejście uwierzytelniania w module zarządzania HTTP(S). Umożliwia to nieautoryzowanym atakującym zdalny dostęp administracyjny poprzez wysyłanie specjalnie skonstruowanych żądań HTTP(S).

CVE-2026-34758
Krytyczne

OneUptime to platforma do monitorowania i obserwacji, która przed wersją 10.0.42 umożliwiała nieautoryzowany dostęp do punktów końcowych zarządzania testami powiadomień oraz numerami telefonów. To stwarzało możliwość nadużyć związanych z SMS-ami, połączeniami, e-mailami oraz WhatsAppem, a także zakupem numerów telefonów.

PoprzedniaStrona 121 z 562Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS