Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.15)

CVE-2026-13029
Wysokie

W Google Chrome przed wersją 149.0.7827.197 wystąpiła podatność typu use after free w mechanizmie uwierzytelniania internetowego, która mogła zostać wykorzystana przez atakującego, który przekonał użytkownika do zainstalowania złośliwego rozszerzenia. Atakujący mógł potencjalnie wykorzystać uszkodzenie sterty za pomocą spreparowanego rozszerzenia Chrome.

CVE-2026-13027
Wysokie

Podatność Use-After-Free w komponencie FileSystem w przeglądarce Google Chrome przed wersją 149.0.7827.197 umożliwiała zdalnemu atakującemu potencjalne wykorzystanie uszkodzenia sterty poprzez spreparowaną stronę HTML. Problem został sklasyfikowany jako wysokiego ryzyka (High) w skali Chromium.

CVE-2026-13026
Wysokie

Podatność Use-After-Free w komponencie Digital Credentials w przeglądarce Google Chrome na systemie Mac przed wersją 149.0.7827.197 umożliwiała zdalnemu atakującemu potencjalne wykorzystanie uszkodzenia sterty za pomocą spreparowanej strony HTML. Problem został sklasyfikowany jako wysokiego ryzyka (High) w ramach Chromium.

CVE-2026-13025
Wysokie

Podatność w DevTools w przeglądarce Google Chrome przed wersją 149.0.7827.197 umożliwia zdalnemu atakującemu, który skompromitował proces renderowania, potencjalną ucieczkę z piaskownicy za pomocą spreparowanej strony HTML. Problem wynika z wyścigu (race condition) w DevTools.

CVE-2026-54699
Wysokie

Warp, środowisko deweloperskie, zawiera podatność na wstrzyknięcie poleceń systemowych w mechanizmie otwierania URL-i w WSL. Wersje od 0.2024.03.12.08.02.stable_01 do 0.2026.05.06.15.42.stable_01 są narażone, gdy Warp nie może otworzyć URL-a przez wslview i korzysta z alternatywnej ścieżki procesora poleceń Windows.

CVE-2026-49851
Wysokie

Mistune to parser Markdown w Pythonie. Przed wersją 3.3.0 jest podatny na atak DoS polegający na wyczerpaniu CPU z powodu kwadratowej złożoności obliczeniowej w funkcji parse_link_text. Wprowadzenie wielu kolejnych znaków [ powoduje wielokrotne skanowanie wejścia, co prowadzi do nadmiernego obciążenia procesora.

CVE-2026-48732
WysokieEPSS 59%

Warp zawiera problem z wstrzyknięciem poleceń w ścieżce poleceń tła SSH w wersjach od 0.2023.03.21.08.02.stable_00 do 0.2026.05.06.15.42.stable_01. Atakujący może wykorzystać zdalny katalog, aby wykonać dodatkową składnię powłoki na zdalnym hoście jako uwierzytelnione konto SSH ofiary.

CVE-2026-48731
Wysokie

Warp, środowisko deweloperskie, zawiera problem z wstrzykiwaniem poleceń w zewnętrznym edytorze na systemie Linux. Wersje od 0.2024.02.20.08.01.stable_01 do 0.2026.05.06.15.42.stable_01 umożliwiają wykonanie złośliwego kodu przez otwarcie pliku kontrolowanego przez atakującego.

CVE-2026-48725
Wysokie

Warp to środowisko deweloperskie, które w wersjach od 0.2021.04.25.23.05.stable_00 do 0.2026.05.06.15.42.stable_01 pozwala na dostęp do lokalnego schowka systemowego z terminala. Złośliwy zdalny host lub inny kontrolowany przez atakującego źródło wyjścia terminala mogą wywołać odczyty lub zapisy do schowka bez dodatkowego potwierdzenia.

CVE-2026-48721
Wysokie

Warp to środowisko deweloperskie, które zawiera lukę umożliwiającą obejście sprawdzania uprawnień do wykonywania poleceń w domyślnym profilu CLI bez piaskownicy. Luka ta pozwala atakującemu na traktowanie poleceń z listy zakazanej jako dozwolonych.

CVE-2026-48720
Wysokie

Warp to środowisko deweloperskie, które w wersjach od 0.2025.03.05.08.02.stable_00 do 0.2026.05.06.15.42.stable_01 akceptuje ładunki `OSC 1337;File` z wyjścia terminala i tworzy lokalny plik bez dodatkowego potwierdzenia. Ta podatność została naprawiona w wersji 0.2026.05.06.15.42.stable_01.

CVE-2026-48719
WysokieEPSS 57%

Warp, środowisko deweloperskie, zawiera podatność na wstrzykiwanie poleceń w selektorze gałęzi. Użytkownik, który może publikować gałęzie w repozytorium Git otwartym w Warp, może spowodować, że złośliwa nazwa gałęzi zostanie zinterpretowana przez powłokę ofiary, jeśli ofiara wybierze tę gałąź z interfejsu użytkownika.

CVE-2026-48704
Wysokie

Warp, środowisko deweloperskie, może otwierać lokalne pliki wykonywalne za pomocą domyślnego narzędzia systemowego. Złośliwy dokument Markdown może zawierać link do lokalnego pliku, który po kliknięciu przez użytkownika może prowadzić do niebezpiecznego otwarcia pliku.

CVE-2026-48703
Wysokie

Warp, środowisko deweloperskie, zawiera lukę umożliwiającą obejście polityki wykonania poleceń w narzędziach wyszukiwania kodu Agenta. Wersje od 0.2025.04.09.08.11.stable_00 do 0.2026.05.06.15.42.stable_01 są podatne na tę lukę, która pozwala na wykonanie poleceń systemowych z kontrolowanych przez Agenta danych wejściowych.

CVE-2026-44020
Wysokie

Podatność w bibliotece Docling w wersjach od 2.13.0 do 2.74.0 umożliwia ataki XML External Entity (XXE) przez parsowanie złośliwych plików XML patentów USPTO. Atakujący może odczytać dowolne pliki z serwera, przeprowadzić ataki SSRF lub spowodować odmowę usługi przez rozszerzanie encji.

CVE-2026-44017
Wysokie

Podatność w Docling przed wersją 2.91.0 umożliwia atak Zip Slip podczas pobierania modeli EasyOCR. Atakujący może nadpisać dowolne pliki w systemie, co prowadzi do zdalnego wykonania kodu, trwałego backdoora lub uszkodzenia danych.

CVE-2026-44016
Wysokie

W Docling w wersjach od 2.82.0 do 2.90.0, jeśli jawnie włączono backend HTML do renderowania (domyślnie wyłączony), funkcja renderowania oparta na Playwright umożliwia wykonanie kodu JavaScript i nieograniczony dostęp sieciowy podczas przetwarzania niezaufanych dokumentów HTML. Atakujący może stworzyć złośliwy HTML, który wykonuje dowolny JavaScript w kontekście renderowania lub wysyła nieautoryzowane żądania sieciowe do wewnętrznych usług.

CVE-2026-54904
Wysokie

Podatność w bibliotece concurrent-ruby dla języka Ruby powoduje, że metoda AtomicReference#update może wejść w nieskończoną pętlę ponawiania, gdy przechowywana wartość to Float::NAN. Wynika to z faktu, że porównanie Float::NAN == Float::NAN zawsze zwraca fałsz, co uniemożliwia pomyślne wykonanie operacji compare_and_set.

CVE-2026-54297
Wysokie

Podatność w bibliotece Faraday pozwala na atak DoS poprzez przesłanie specjalnie spreparowanego zagnieżdżonego ciągu zapytania. Dekoder NestedParamsEncoder nie ogranicza głębokości zagnieżdżenia, co prowadzi do przepełnienia stosu i awarii wątku lub procesu roboczego.

CVE-2026-53130
Wysokie

W jądrze Linux w systemie plików OMFS brakuje walidacji dolnego zakresu dla s_sys_blocksize. Atakujący może dostarczyć spreparowany obraz systemu plików z wartością mniejszą niż OMFS_DIR_START (440), co prowadzi do niedomiaru liczby całkowitej bez znaku w funkcji omfs_make_empty(). Skutkuje to wywołaniem memset() z długością bliską 4 GiB, nadpisującą pamięć jądra poza buforem bloku.

PoprzedniaStrona 130 z 3416Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS