Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-53825
Średnie

OpenClaw przed wersją 2026.4.7 zawiera podatność na odczyt dowolnych plików w funkcji wczytywania pamięci wiki, która pozwala uwierzytelnionym operatorom bramy z zakresem operator.write na odczyt lokalnych plików poza zamierzonymi źródłami wczytywania. Atakujący z dostępem operator.write mogą określać dowolne lokalne ścieżki plików do importu treści plików do pamięci wiki, omijając ograniczenia dostępu.

CVE-2026-53824
Średnie

OpenClaw przed wersją 2026.4.24 zawiera podatność na unieważnienie tokenów, która pozwala na kontynuowanie wykonywania poleceń przez użytkowników z unieważnionymi tokenami slash podczas okien odświeżania monitora. Atakujący mogą wykorzystać akceptację przestarzałych tokenów do wywołania zachowania poleceń slash krótko po unieważnieniu tokena.

CVE-2026-53820
Średnie

OpenClaw przed wersją 2026.5.12 zawiera lukę umożliwiającą obejście listy zakazów wykonywania w ścieżce sesji MCP loopback, co pozwala uwierzytelnionym użytkownikom na ominięcie zamierzonych ograniczeń poleceń.

CVE-2026-53523
Średnie

Nezha Monitoring w wersjach od 1.0.0 do przed 2.2.0 ma lukę w funkcji getRedirectURL, która tworzy URL zwrotny OAuth2 bez walidacji nagłówka Host. Może to prowadzić do wstrzyknięcia nagłówka hosta.

CVE-2026-53522
Średnie

Nezha Monitoring w wersjach od 1.0.0 do przed 2.2.0 ma lukę, która pozwala na tworzenie długoterminowych strumieni WebSocket bez ograniczeń. Dwa punkty końcowe, POST /api/v1/terminal i POST /api/v1/file, nie mają limitów użytkowników ani połączeń serwerowych.

CVE-2026-53521
Średnie

Nezha Monitoring w wersjach od 2.0.14 do przed 2.1.0 pozwala na akceptację i przechowywanie nieistniejących identyfikatorów ddns_profiles dla serwera należącego do użytkownika. W przypadku, gdy inny użytkownik utworzy profil DDNS z jednym z tych identyfikatorów, może to prowadzić do wykorzystania konfiguracji profilu DDNS innego użytkownika w kontekście serwera napastnika.

CVE-2026-53520
Średnie

Nezha Monitoring to narzędzie do monitorowania serwerów i stron internetowych. W wersjach od 2.0.14 do przed 2.1.0, uwierzytelnieni użytkownicy mogą przejąć kontrolę nad panelem Host poprzez NAT, co pozwala na przejęcie całej routingu panelu.

CVE-2026-49397
Średnie

Nezha Monitoring to narzędzie do monitorowania serwerów i stron internetowych. W wersjach od 2.0.0 do przed 2.0.14, prywatne usługi były widoczne poprzez punkty końcowe dla poszczególnych serwerów, co prowadziło do wycieku danych o nazwach i czasach.

CVE-2026-47268
Średnie

Nezha Monitoring przed wersją 2.0.10 pozwala uwierzytelnionym użytkownikom na tworzenie lub aktualizację profilu DDNS z dowolnym webhook_url, co prowadzi do podatności typu SSRF. Użytkownicy z niskimi uprawnieniami mogą wysyłać żądania HTTP do wewnętrznych usług sieciowych.

CVE-2026-47124
Średnie

Nezha Monitoring w wersjach od 1.4.0 do przed 2.0.9 pozwala na dostęp do WebSocket z informacjami o statusie serwera przez uwierzytelnionych użytkowników niebędących administratorami. Użytkownicy ci mogą otrzymywać dane telemetryczne dotyczące wszystkich serwerów, w tym tych należących do innych użytkowników.

CVE-2026-41155
Średnie

Atakujący może współdzielić dane między procesami GPU w trybie zabezpieczonym poprzez wspólne alokacje pamięci w module jądra. Może to prowadzić do uszkodzenia obrazu lub konieczności odzyskiwania sprzętu GPU.

CVE-2026-12131
Średnie

W systemie CodeAstro Human Resource Management System 1.0 wykryto podatność na iniekcję SQL w module faktur płacowych. Luka występuje w funkcji Invoice pliku Payroll.php, gdzie argument ID jest podatny na manipulację. Atak może być przeprowadzony zdalnie, a publicznie dostępny exploit umożliwia jego wykorzystanie.

CVE-2025-7019
Średnie

Podatność typu przepełnienie stosu w programie Avast Antivirus podczas skanowania źle sformatowanego pliku Office Open XML może prowadzić do awarii procesu antywirusowego.

CVE-2025-7018
Średnie

W podatności CVE-2025-7018 występuje dereferencja wskaźnika null w silniku Avira Antivirus podczas skanowania źle sformatowanego pliku PE systemu Windows, co może prowadzić do awarii procesu silnika antywirusowego.

CVE-2025-7010
Średnie

Podatność na przepełnienie stosu spowodowana niekontrolowaną rekurencją w programie Avast Antivirus podczas skanowania źle sformatowanego pliku PDF może prowadzić do awarii procesu antywirusowego.

CVE-2025-7006
Średnie

Podatność w Avast Antivirus polega na użyciu pamięci stosu po jej zwolnieniu podczas skanowania źle sformatowanego pliku PE Windows, co może prowadzić do awarii procesu antywirusowego.

CVE-2025-7005
Średnie

W Avast Antivirus występuje podatność na niekontrolowaną rekurencję podczas skanowania źle sformatowanego pliku PE systemu Windows, co może prowadzić do awarii procesu antywirusowego.

CVE-2026-54397
Średnie

Podatność w MISP umożliwia uwierzytelnionemu użytkownikowi z uprawnieniami edycji zdarzeń manipulowanie danymi formularza i przypisanie zdarzenia do grupy udostępniania, do której nie ma uprawnień. Problem występuje w ścieżce edycji zdarzeń, która nie stosuje odpowiednich kontroli autoryzacji.

CVE-2026-54396
Średnie

Występuje podatność na ujawnienie informacji w funkcjonalności edycji AuthKey w MISP. Podczas wystąpienia błędu walidacji w żądaniu edycji AuthKey, lista użytkowników była wypełniana wartością AuthKey.user_id kontrolowaną przez atakującego, co umożliwiało enumerację adresów e-mail użytkowników.

CVE-2026-54395
Średnie

MISP zawiera podatność na refleksyjny atak typu cross-site scripting w widoku indeksu zdarzeń UiBeta. Wartość urlparams jest wstawiana do wewnętrznego handlera JavaScript, co pozwala atakującemu na wykonanie dowolnego kodu JavaScript w przeglądarce ofiary.

PoprzedniaStrona 128 z 560Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS