Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-33757
Krytyczne

OpenBao przed wersją 2.5.2 nie wymaga potwierdzenia użytkownika podczas logowania przez JWT/OIDC z rolą ustawioną na `callback_mode=direct`. Pozwala to atakującemu na zdalne phishingowe przejęcie sesji ofiary poprzez automatyczne logowanie do konta atakującego.

CVE-2026-30304
Krytyczne

W projekcie automatycznego wykonywania poleceń terminalowych, AI Code oferuje dwie opcje: wykonywanie bezpiecznych poleceń oraz wykonywanie wszystkich poleceń. System jest podatny na ataki typu prompt injection, co pozwala atakującemu na obejście wymogu zatwierdzenia przez użytkownika i wykonanie dowolnych poleceń.

CVE-2026-30303
Krytyczne

Moduł automatycznej akceptacji poleceń w Axon Code zawiera podatność na wstrzyknięcie poleceń systemowych, co czyni mechanizm białej listy nieskutecznym. Problem wynika z niewłaściwego użycia parsera poleceń, który jest niekompatybilny z systemem Windows.

CVE-2026-27876
KrytyczneEPSS 77%

Łańcuchowy atak wykorzystujący wyrażenia SQL oraz wtyczkę Grafana Enterprise może prowadzić do zdalnego wykonania dowolnego kodu (RCE). Podatność wynika z funkcji dostępnej w Grafana (OSS), dlatego zaleca się aktualizację wszystkich instalacji.

CVE-2026-4622
Krytyczne

Podatność typu OS Command Injection w serii Aterm firmy NEC Platforms, Ltd. umożliwia atakującemu wykonanie dowolnych poleceń systemowych przez sieć.

CVE-2026-4620
Krytyczne

Podatność typu OS Command Injection w serii Aterm firmy NEC Platforms, Ltd. umożliwia atakującemu wykonywanie dowolnych poleceń systemowych przez sieć.

CVE-2026-4619
Krytyczne

Podatność typu Path Traversal w serii Aterm firmy NEC Platforms umożliwia atakującemu nadpisanie dowolnego pliku przez sieć.

CVE-2026-25101
Krytyczne

Bludit pozwala na ustawienie identyfikatora sesji użytkownika przed uwierzytelnieniem, a jego wartość pozostaje taka sama po uwierzytelnieniu. Taka sytuacja umożliwia atakującemu przypisanie identyfikatora sesji ofiary i późniejsze przejęcie uwierzytelnionej sesji.

CVE-2026-33280
Krytyczne

W produktach routerów Wi-Fi BUFFALO występuje ukryty problem z funkcjonalnością, który może umożliwić atakującemu dostęp do funkcji debugowania urządzenia, co skutkuje możliwością wykonania dowolnych poleceń systemu operacyjnego.

CVE-2026-32669
Krytyczne

W produktach routerów Wi-Fi BUFFALO występuje podatność na wstrzykiwanie kodu. W przypadku jej wykorzystania, możliwe jest wykonanie dowolnego kodu na tych urządzeniach.

CVE-2026-27650
Krytyczne

W produktach routerów Wi-Fi BUFFALO występuje podatność na wstrzykiwanie poleceń systemowych. W przypadku jej wykorzystania, możliwe jest wykonanie dowolnego polecenia systemowego na tych urządzeniach.

CVE-2026-22738
Krytyczne

W Spring AI występuje podatność na wstrzykiwanie SpEL w SimpleVectorStore, gdy wartość dostarczona przez użytkownika jest używana jako klucz wyrażenia filtru. Złośliwy aktor może wykorzystać tę podatność do wykonania dowolnego kodu.

CVE-2026-33890
Krytyczne

MyTube to samodzielnie hostowany downloader i odtwarzacz dla kilku stron wideo. Przed wersją 1.8.71, nieautoryzowany atakujący mógł zarejestrować dowolny klucz dostępu i uzyskać pełną sesję administratora, ponieważ aplikacja udostępniała punkty rejestracji kluczy dostępu bez wymogu wcześniejszej autoryzacji.

CVE-2026-33729
Krytyczne

OpenFGA to wydajny i elastyczny silnik autoryzacji, który w wersjach przed 1.13.1 może w określonych warunkach generować ten sam klucz pamięci podręcznej dla różnych żądań sprawdzających. Może to prowadzić do ponownego użycia wcześniejszego wyniku z pamięci podręcznej dla innego żądania, co wpływa na użytkowników korzystających z modeli z relacjami opartymi na ocenie warunków.

CVE-2026-33728
Krytyczne

Podatność w dd-trace-java, kliencie APM dla Javy, pozwala na deserializację danych bez zastosowania filtrów serializacji w wersjach od 0.40.0 do przed 1.60.2. Atakujący z dostępem do portu JMX lub RMI na instrumentowanej JVM może wykorzystać tę lukę do potencjalnego zdalnego wykonania kodu.

CVE-2026-33701
KrytyczneEPSS 56%

Podatność w OpenTelemetry Java Instrumentation przed wersją 2.26.1 umożliwia zdalne wykonanie kodu poprzez deserializację danych bez filtrów w integracji RMI. Atak wymaga dostępu do portu JMX/RMI na JVM z wersją JDK 16 lub starszą oraz obecności bibliotek typu gadget-chain na classpath.

CVE-2026-33945
Krytyczne

Incus to menedżer kontenerów systemowych i maszyn wirtualnych. W wersjach przed 6.23.0, atakujący mógł skonfigurować klucz, który pozwalał na zapisanie danych poza katalogiem `credentials`, co umożliwiało eskalację uprawnień oraz ataki typu denial of service.

CVE-2026-33897
Krytyczne

Incus to menedżer kontenerów systemowych i maszyn wirtualnych. W wersjach przed 6.23.0 pliki szablonów instancji mogły być wykorzystane do dowolnego odczytu lub zapisu jako root na serwerze hosta, co wynika z błędnej implementacji mechanizmu izolacji chroot w szablonach pongo2.

CVE-2026-33670
Krytyczne

SiYuan to system zarządzania wiedzą osobistą. W wersjach przed 3.6.2 interfejs /api/file/readDir umożliwiał przeszukiwanie i pobieranie nazw plików wszystkich dokumentów w notatniku. Wersja 3.6.2 naprawia ten problem.

CVE-2026-33669
Krytyczne

SiYuan to system zarządzania wiedzą osobistą. W wersjach przed 3.6.2 identyfikatory dokumentów były pobierane za pomocą interfejsu /api/file/readDir, a następnie interfejs /api/block/getChildBlocks był używany do przeglądania zawartości wszystkich dokumentów. Wersja 3.6.2 naprawia ten problem.

PoprzedniaStrona 129 z 562Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS