Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-28744
Wysokie

Podatność w Gitea do wersji 1.26.1 włącznie umożliwia pominięcie kontroli zakresu tokena repozytorium dla uwierzytelnionych żądań Git smart HTTP z tokenami typu bearer.

CVE-2026-28740
Wysokie

Podatność w Gitea do wersji 1.26.2 włącznie umożliwia ponowne wykorzystanie obiektów Git LFS, co pozwala użytkownikom z dostępem do repozytorium, ale bez dostępu do jednostek kodu, na autoryzację prywatnych obiektów źródłowych.

CVE-2026-28737
Wysokie

Podatność w Gitea umożliwia przechowywany atak XSS przez pole extensionsRequired w plikach glTF renderowanych przez przeglądarkę 3D. Dotyczy wersji od 1.25.0 do 1.26.0.

CVE-2026-28699
Wysokie

Podatność w Gitea do wersji 1.26.1 włącznie umożliwia ominięcie egzekwowania zakresu tokena dostępu OAuth2 poprzez uwierzytelnianie HTTP Basic.

CVE-2026-27779
Wysokie

Gitea w wersjach przed 1.25.5 akceptuje nieprawidłowe lub wstrzyknięte wartości forwarded-proto podczas wykrywania publicznych adresów URL, co umożliwia fałszowanie kanonicznych adresów URL.

CVE-2026-27775
Wysokie

W Gitea 1.25.5 wynik sprawdzenia uprawnień do zapisu dla konkretnej gałęzi jest buforowany w ramach jednej sesji haka pre-receive. Pozwala to na ponowne użycie przyznanego dostępu edycyjnego dla opiekuna gałęzi do innych referencji, co prowadzi do eskalacji uprawnień do pełnego zapisu w repozytorium.

CVE-2026-27771
WysokieEPSS 98%

Podatność w Gitea do wersji 1.26.1 włącznie wynika z niewystarczającego sprawdzania uprawnień dla linków źródłowych pakietów Composer. Może to prowadzić do ujawnienia informacji o prywatnych lub wewnętrznych źródłach pakietów.

CVE-2026-27660
Wysokie

Podatność w Gitea przed wersją 1.25.5 umożliwia dostęp do danych lub załączników wersji roboczej (draft release) bez wymaganych uprawnień do zapisu.

CVE-2026-27657
Wysokie

Podatność w Gitea przed wersją 1.25.5 umożliwia użytkownikowi zmianę głównego adresu e-mail innego użytkownika.

CVE-2026-26231
Wysokie

Podatność w Gitea do wersji 1.26.1 włącznie umożliwia użytkownikom z uprawnieniem 'Zezwalaj na edycje od opiekunów' zatwierdzanie zmian w repozytoriach, do których mają dostęp tylko do odczytu, ale nie powinni mieć prawa zapisu.

CVE-2026-25712
Wysokie

Podatność w Gitea przed wersją 1.25.5 umożliwia nieautoryzowany dostęp do informacji o ukrytych członkach i prywatnych organizacjach poprzez API uprawnień organizacji. Brak wystarczających kontroli widoczności pozwala na ujawnienie danych, które powinny być chronione.

CVE-2026-25038
Wysokie

W Gitea 1.26.2 nieautoryzowani użytkownicy mogą uzyskać dostęp do etykiet prywatnych organizacji. Podatność ta umożliwia odczyt danych, które powinny być chronione przed osobami nieposiadającymi odpowiednich uprawnień.

CVE-2026-24690
Wysokie

Podatność w Gitea przed wersją 1.25.5 wynika z niewystarczającego sprawdzania uprawnień podczas aktualizacji lub przebazowywania gałęzi żądań pull. Osoba atakująca może wykorzystać ten błąd do nieautoryzowanej modyfikacji gałęzi.

CVE-2026-24451
Wysokie

Podatność w Gitea 1.26.2 umożliwia kontynuację synchronizacji forka po zmianie repozytorium nadrzędnego z publicznego na prywatne, co prowadzi do nieautoryzowanego dostępu do danych.

CVE-2026-22555
Wysokie

Podatność w Gitea przed wersją 1.26.0 umożliwia użytkownikom API forkowanie repozytorium do organizacji bez przejścia kontroli CanCreateOrgRepo, co może ujawnić tajemnice organizacji.

CVE-2026-20779
Wysokie

Podatność w Gitea w wersjach od 1.5.0 do 1.26.2 pozwala na wielokrotne użycie tego samego kodu TOTP w procesie uwierzytelniania dwuskładnikowego przez web oraz Basic Auth z nagłówkiem X-Gitea-OTP.

CVE-2026-12481
Wysokie

W bibliotece Keras w wersji 3.14.0 wykryto podatność umożliwiającą zdalne wykonanie kodu. Problem wynika z nieprawidłowego traktowania wartości `None` w funkcji `_raise_for_lambda_deserialization()`, która domyślnie nie wymusza trybu bezpiecznego deserializacji. Atakujący może wykorzystać to do wstrzyknięcia złośliwego kodu przez warstwę `Lambda`.

CVE-2026-14606
Wysokie

W bibliotece RT-Thread do wersji 5.0.2 wykryto podatność w funkcji CAN_Receive w pliku SWM341.h komponentu SWM341 CAN Handler. Lokalny atakujący może wywołać przepełnienie bufora na stosie poprzez manipulację danymi. Publicznie dostępny exploit umożliwia przeprowadzenie ataku.

CVE-2026-14605
Wysokie

W bibliotece RT-Thread do wersji 5.0.2 w komponencie ls1c CAN Handler znaleziono podatność na przepełnienie bufora stosu w funkcji recvmsg. Atak wymaga lokalnego dostępu, a exploit jest publicznie dostępny.

CVE-2026-58379
Wysokie

W parserze formatu Paint Shop Pro (PSP) w GIMP-ie wykryto podatność na przepełnienie bufora sterty. Błąd wynika z nieprawidłowego obliczania rozmiarów buforów podczas przetwarzania obrazów o niskiej głębi bitowej, co umożliwia zdalnemu atakującemu wykonanie dowolnego kodu lub wywołanie odmowy usługi (DoS) poprzez nakłonienie użytkownika do otwarcia specjalnie spreparowanego pliku PSP.

PoprzedniaStrona 13 z 3342Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS