Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.15)
Występuje podatność na odczyt poza zakresem w API strumieniowym NI grpc-device z powodu braku sprawdzenia granic, co może prowadzić do odmowy usługi. Skuteczne wykorzystanie wymaga, aby atakujący dostarczył specjalnie przygotowane żądanie zapisu.
W podatności CVE-2026-47339 w Apache APISIX występuje błąd autoryzacji, który pozwala atakującemu na uwierzytelnienie się przy użyciu danych z innego źródła. Problem dotyczy wersji od 2.14.1 do 3.16.0.
Podatność związana z niewłaściwą walidacją danych wejściowych w Apache APISIX umożliwia atakującemu fałszowanie nagłówków tożsamości poprzez wykorzystanie określonej konfiguracji w wtyczce forward-auth. Problem dotyczy wersji od 2.12.0 do 3.16.0.
Wersje SIMA GmbH Bondix do 1.25.7.5 na systemie Linux zawierają podatność na wstrzykiwanie poleceń systemowych w funkcjonalności konfiguracji środowiska i tunelu. Umożliwia to uwierzytelnionemu atakującemu z dostępem do zapisu konfiguracji wykonanie dowolnych poleceń systemowych poprzez odpowiednio przygotowane wartości konfiguracyjne przekazywane do skryptów po stronie serwera.
W JetBrains GoLand przed wersją 2026.1.3 możliwe było zdalne wykonanie kodu poprzez niezaufaną konfigurację projektu.
Oprogramowanie uruchamiane jako użytkownik bez uprawnień może wykonywać nieprawidłowe wywołania systemowe GPU, co prowadzi do niewłaściwego zarządzania zasobami i scenariusza zapisu po zwolnieniu pamięci.
Podatność CVE-2026-34192 dotyczy oprogramowania uruchamianego jako użytkownik bez uprawnień, które może wykonywać nieprawidłowe wywołania systemowe GPU, prowadząc do błędnej ścieżki i wykorzystania pamięci po jej zwolnieniu.
Poprawka bezpieczeństwa dla CVE-2025-0728 w bibliotece eclipse-threadx NetX Duo wprowadziła nową podatność. Wspólna ścieżka czyszczenia w procesie PUT serwera HTTP wywołuje funkcję fx_file_close() nawet gdy plik nie został otwarty, co prowadzi do niezdefiniowanego zachowania, podwójnego zamknięcia lub uszkodzenia pamięci.
Podatność w Dell Server Hardware Manager przed wersją 3.2.2 wynika z nieprawidłowej kontroli dostępu. Umożliwia ona lokalnemu atakującemu z niskimi uprawnieniami podniesienie swoich przywilejów w systemie.
Podatność DoS w interfejsie 10G iSCSI platformy Hitachi Virtual Storage Platform może prowadzić do zakłócenia dostępności systemu. Dotyczy to wielu modeli, w tym E990, E1090, E390, G100 oraz VX7.
W podatności CVE-2026-8806 w module Ethernet FX5-ENET/IP serii MELSEC iQ-F firmy Mitsubishi Electric, atakujący zdalnie może spowodować warunki odmowy usługi (DoS) poprzez wysyłanie dużej liczby pakietów komunikacyjnych w krótkim czasie, co prowadzi do przeciążenia przetwarzania produktu.
W podatności CVE-2026-8805 występuje przepełnienie całkowitej liczby w funkcji EtherNet/IP modułu FX5-EIP serii MELSEC iQ-F firmy Mitsubishi Electric. Umożliwia to zdalnemu atakującemu spowodowanie stanu odmowy usługi (DoS) poprzez szybkie nawiązywanie dużej liczby połączeń TCP.
Podatność SQL injection w pgAdmin 4 występuje w szesnastu szablonach Jinja, gdzie opis użytkownika jest bezpośrednio wstawiany do literału SQL bez odpowiedniego escapowania. Uwierzytelniony użytkownik z uprawnieniami do tworzenia lub modyfikowania obiektów (domeny, tabele zewnętrzne, języki, wyzwalacze zdarzeń) może wstrzyknąć dowolne polecenia SQL, a w przypadku roli z uprawnieniami superużytkownika PostgreSQL doprowadzić do wykonania poleceń systemu operacyjnego.
PraisonAI w wersjach przed 1.5.115 zawiera podatność na traversję ścieżek w MultiAgentMonitor, która nie sanitizuje identyfikatorów agentów podczas budowania ścieżek plików. Atakujący mogą wprowadzać sekwencje traversji, takie jak ../, w identyfikatorach agentów, co pozwala na odczyt, zapis lub nadpisywanie dowolnych plików.
PraisonAI w wersjach przed 1.5.128 zawiera podatność na wykonanie agenta z innego źródła w punkcie końcowym AGUI, co pozwala zdalnym atakującym na wywołanie dowolnego wykonania agenta. Brak uwierzytelnienia w punkcie końcowym POST /agui oraz hardkodowane nagłówki Access-Control-Allow-Origin: * umożliwiają obejście kontroli CORS.
PraisonAI w wersjach przed 4.5.128 zawiera podatność na wykonanie dowolnych poleceń powłoki, ponieważ moduły interfejsu użytkownika mają na stałe ustawiony tryb zatwierdzania na auto, co pomija konfigurację administratora z zmiennej środowiskowej PRAISON_APPROVAL_MODE. Uwierzytelnieni atakujący mogą zlecać agentowi LLM wykonywanie dowolnych poleceń powłoki.
Zidentyfikowano problem bezpieczeństwa w Chef 360, który może umożliwić nieautoryzowany dostęp do chronionych punktów API w określonych warunkach. Problem wynika z niewłaściwego przetwarzania ścieżek zakodowanych w URL podczas obsługi żądań.
W wersjach przed 0.9.6 platformy Open WebUI występuje podatność w odwrotnym proxy terminala, która pozwala uwierzytelnionym użytkownikom na wykorzystanie sekwencji `../` do ucieczki z zamierzonego zakresu ścieżki, co może prowadzić do nieautoryzowanego dostępu do plików i punktów końcowych na serwerze terminalowym.
Podatność w Cost Management Interactive Experiences umożliwia nieautoryzowanemu atakującemu ujawnienie wrażliwych informacji poprzez sieć. Luka wynika z ekspozycji poufnych danych dla nieuprawnionego podmiotu.
Nieprawidłowa autoryzacja w usłudze Azure Bot Service umożliwia autoryzowanemu atakującemu podniesienie uprawnień w sieci.

