Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-26830
Krytyczne

Pakiet npm pdf-image w wersjach do 2.0.0 umożliwia wstrzyknięcie poleceń systemowych poprzez parametr pdfFilePath. Funkcje constructGetInfoCommand oraz constructConvertCommandForPage wykorzystują util.format() do interpolacji ścieżek plików kontrolowanych przez użytkownika w ciągi poleceń powłoki, które są wykonywane za pomocą child_process.exec().

CVE-2025-59707
Krytyczne

W N2W przed wersją 4.3.2 oraz 4.4.x przed wersją 4.4.1 występuje podatność na zdalne wykonanie kodu oraz kradzież danych logowania z powodu luki w zabezpieczeniach związanej z fałszowaniem.

CVE-2025-59706
Krytyczne

W N2W przed wersją 4.3.2 oraz w wersjach 4.4.0 przed 4.4.1 występuje niewłaściwa walidacja parametrów żądań API, co umożliwia zdalne wykonanie kodu.

CVE-2025-32991
Krytyczne

W N2WS Backup & Recovery przed wersją 4.4.0, atak dwustopniowy na interfejs API RESTful prowadzi do zdalnego wykonania kodu.

CVE-2026-28858
Krytyczne

Wykryto przepełnienie bufora, które zostało naprawione dzięki poprawionemu sprawdzaniu granic. Problem ten został rozwiązany w iOS 26.4 oraz iPadOS 26.4.

CVE-2026-28827
Krytyczne

W systemie macOS wystąpił problem z analizą ścieżek katalogów, który został rozwiązany poprzez poprawę walidacji ścieżek. Problem ten został naprawiony w wersjach macOS Sequoia 15.7.5, macOS Sonoma 14.8.5 oraz macOS Tahoe 26.4.

CVE-2026-20688
Krytyczne

Problem z obsługą ścieżek został rozwiązany dzięki poprawionej walidacji. Problem ten został naprawiony w iOS 26.4, iPadOS 26.4, macOS Sequoia 15.7.5, macOS Sonoma 14.8.5, macOS Tahoe 26.4 oraz visionOS 26.4.

CVE-2025-33244
Krytyczne

NVIDIA APEX dla systemu Linux zawiera podatność, która pozwala nieautoryzowanemu atakującemu na deserializację nieufnych danych. Podatność ta dotyczy środowisk korzystających z wersji PyTorch wcześniejszych niż 2.6.

CVE-2026-33511
Krytyczne

W pyLoad, menedżerze pobierania, występuje luka w funkcji ClickNLoad, która pozwala na obejście dekoratora local_check. Atakujący zdalny może wykorzystać fałszowanie nagłówka HTTP Host, co umożliwia dostęp do punktów końcowych ograniczonych do localhost.

CVE-2026-33322
Krytyczne

MinIO to system przechowywania obiektów o wysokiej wydajności. W wersjach od RELEASE.2022-11-08T05-27-07Z do przed RELEASE.2026-03-17T21-25-16Z występuje podatność związana z myleniem algorytmu JWT w uwierzytelnianiu OpenID Connect, która pozwala atakującemu, znającemu OIDC ClientSecret, na fałszowanie dowolnych tokenów tożsamości i uzyskanie poświadczeń S3 z dowolną polityką, w tym consoleAdmin.

CVE-2026-33409
Krytyczne

Parse Server, otwarte oprogramowanie backendowe, ma lukę umożliwiającą obejście uwierzytelniania przed wersjami 8.6.52 i 9.6.0-alpha.41. Atakujący może zalogować się jako dowolny użytkownik, który powiązał swoje konto z zewnętrznym dostawcą uwierzytelniania, znając jedynie identyfikator dostawcy.

CVE-2026-33407
Krytyczne

Wallos to otwartoźródłowy, samodzielny tracker subskrypcji osobistych. W wersjach przed 4.7.0, endpointy/logos/search.php akceptują zmienne środowiskowe HTTP_PROXY i HTTPS_PROXY bez walidacji, co umożliwia atak SSRF poprzez przejęcie proxy.

CVE-2026-33340
Krytyczne

W interfejsie webowym LoLLMs zidentyfikowano krytyczną podatność typu Server-Side Request Forgery (SSRF). Umożliwia ona nieautoryzowanym atakującym wymuszanie na serwerze wykonywania dowolnych żądań GET, co może prowadzić do dostępu do wewnętrznych usług oraz wycieku wrażliwych danych.

CVE-2026-33334
Krytyczne

Vikunja to platforma do zarządzania zadaniami, która w wersjach od 0.21.0 do 2.2.0 umożliwia `nodeIntegration` w procesie renderowania bez `contextIsolation` lub `sandbox`. To stwarza ryzyko, że każda podatność XSS w interfejsie webowym Vikunji może prowadzić do zdalnego wykonania kodu na maszynie ofiary.

CVE-2026-4729
Krytyczne

W przeglądarce Firefox 148 i kliencie pocztowym Thunderbird 148 wykryto błędy bezpieczeństwa pamięci. Niektóre z nich powodowały uszkodzenie pamięci, co mogło potencjalnie umożliwić zdalne wykonanie kodu. Luka została naprawiona w wersjach Firefox 149 i Thunderbird 149.

CVE-2026-4725
Krytyczne

Podatność CVE-2026-4725 dotyczy ucieczki z piaskownicy spowodowanej błędem use-after-free w komponencie Graphics: Canvas2D. Została naprawiona w wersjach Firefox 149 i Thunderbird 149.

CVE-2026-4724
Krytyczne

W komponentach Audio/Video występuje nieokreślone zachowanie, które może prowadzić do problemów z bezpieczeństwem. Podatność ta została naprawiona w wersjach Firefox 149 i Thunderbird 149.

CVE-2026-4723
Krytyczne

Podatność typu use-after-free w komponencie silnika JavaScript. Została naprawiona w wersjach Firefox 149 i Thunderbird 149.

CVE-2026-4721
Krytyczne

W przeglądarkach Firefox ESR 115.33, Firefox ESR 140.8, Thunderbird ESR 140.8, Firefox 148 i Thunderbird 148 wykryto błędy bezpieczeństwa pamięci. Niektóre z nich mogły prowadzić do uszkodzenia pamięci i potencjalnie umożliwić wykonanie dowolnego kodu.

CVE-2026-4720
Krytyczne

W przeglądarce Firefox ESR 140.8, Thunderbird ESR 140.8, Firefox 148 i Thunderbird 148 wykryto błędy bezpieczeństwa pamięci. Niektóre z nich powodowały uszkodzenie pamięci, co mogło potencjalnie umożliwić zdalne wykonanie kodu.

PoprzedniaStrona 133 z 562Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS