Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.15)

CVE-2026-30799
Wysokie

Brak uwierzytelniania dla krytycznej funkcji w RTI Connext Professional (Security Plugins) umożliwia podszywanie się pod tożsamość. Podatność dotyczy wersji od 5.3.0 do 7.4.0 przed 7.7.0.

CVE-2026-2674
Wysokie

W bibliotece RTI Connext Professional wykryto podatność polegającą na zapisie poza dozwolonym zakresem pamięci, która może prowadzić do przepełnienia buforów. Problem dotyczy komponentów Queueing Service, Core Libraries oraz Persistence Service w wersjach od 7.4.0 przed 7.7.0, od 7.0.0 przed 7.3.1.3 oraz od 6.1.0 przed 6.1.*.

CVE-2026-2467
Wysokie

Podatność przepełnienia bufora sterty w bibliotekach RTI Connext Professional umożliwia przepełnienie zmiennych i tagów. Problem dotyczy wielu wersji produktu.

CVE-2026-9675
Wysokie

Klient WebSocket undici w wersji 8.1.0 nie egzekwuje łącznego rozmiaru fragmentowanych, niekompresowanych wiadomości, co może prowadzić do nieograniczonego wzrostu pamięci. Złośliwy serwer WebSocket może wysyłać wiele małych fragmentów, które przechodzą walidację, ale łącznie przekraczają ustalony limit, co skutkuje wyczerpaniem pamięci i odmową usługi.

CVE-2026-53875
Wysokie

Picklescan przed wersją 1.0.3 zawiera lukę w funkcji scan_pytorch, która pozwala atakującym na obejście skanowania. Dzięki wykorzystaniu dynamicznego eval i triku __reduce__, mogą oni osadzić złośliwe numery magiczne w ładunkach PyTorch, które omijają detekcję picklescan.

CVE-2026-53872
Wysokie

Picklescan w wersjach przed 0.0.35 zawiera podatność na niebezpieczną deserializację pickle, która pozwala nieautoryzowanym atakującym na odczyt dowolnych plików serwera poprzez łańczenie io.FileIO i urllib.request.urlopen.

CVE-2026-32652
Wysokie

Wersje Dell AIOps Collector przed 1.18.3 zawierają podatność na 'Użycie domyślnych poświadczeń'. Atakujący z niskimi uprawnieniami, mający dostęp do konsoli, może wykorzystać tę podatność do uzyskania dostępu do systemu plików.

CVE-2026-20190
Wysokie

Podatność w Cisco ISE i ISE-PIC może umożliwić nieautoryzowanemu, zdalnemu atakującemu przeglądanie wrażliwych informacji na podatnym urządzeniu. Problem wynika z niewłaściwych kontroli autoryzacji przy dostępie do zasobów.

CVE-2025-71322
Wysokie

PickleScan w wersji przed 0.0.33 nie uwzględnia funkcji pty.spawn na liście niebezpiecznych globalnych, co pozwala atakującym na ominięcie kontroli bezpieczeństwa. Złośliwi aktorzy mogą stworzyć ładunki pickle wykorzystujące pty.spawn do osiągnięcia dowolnego wykonania kodu podczas przetwarzania plików przez PickleScan.

CVE-2025-26240
Wysokie

W wersji 1.0.0 biblioteki python-pdfkit od JazzCore, metoda from_string umożliwia wykonanie kodu JavaScript w kontekście aplikacji serwerowej oraz eksfiltrację lokalnych plików.

CVE-2026-54810
Wysokie

W Nexi Payments Nexi XPay występuje luka związana z brakiem autoryzacji, która pozwala na wykorzystanie niepoprawnie skonfigurowanych poziomów kontroli dostępu.

CVE-2026-54415
Wysokie

Brak autoryzacji w trasach zarządzania serwerem w Azuriom CMS przed wersją 1.2.11 pozwala uwierzytelnionemu atakującemu z uprawnieniami admin.access na tworzenie tokenów serwera AzLink oraz przejmowanie kont użytkowników niebędących administratorami poprzez zmianę ich haseł i adresów e-mail.

CVE-2026-49502
Wysokie

Dell PowerFlex Manager w wersjach przed 5.1.0.1 zawiera podatność na niewłaściwą autoryzację. Atakujący bez autoryzacji z dostępem do sąsiedniej sieci może wykorzystać tę podatność, co prowadzi do ujawnienia informacji, manipulacji danymi oraz nieautoryzowanego dostępu.

CVE-2026-42530
WysokieEPSS 87%

NGINX Open Source zawiera podatność w module ngx_http_v3_module. Gdy NGINX jest skonfigurowany z modułem HTTP/3 QUIC, zdalny, nieuwierzytelniony atakujący może, przy spełnieniu dodatkowych warunków, użyć spreparowanej sesji HTTP/3 do ponownego otwarcia strumienia kodera QPACK, co prowadzi do użycia po zwolnieniu (Use-after-Free) w procesie roboczym NGINX i jego restarcie. W systemach z wyłączonym ASLR lub gdy atakujący ominie ASLR, możliwe jest wykonanie kodu.

CVE-2026-42055
WysokieEPSS 88%

NGINX Plus i NGINX Open Source zawierają podatność w modułach ngx_http_proxy_v2_module i ngx_http_grpc_module. Gdy używane są dyrektywy proxy_http_version 2 lub grpc_pass do proxy ruchu HTTP/2, a ignore_invalid_headers jest ustawione na off oraz large_client_header_buffers ma rozmiar większy niż 2 megabajty, zdalny, nieuwierzytelniony atakujący może wysłać duże nagłówki podczas tworzenia żądania upstream, co może spowodować przepełnienie bufora sterty w procesie roboczym NGINX i jego restart. Dodatkowo, atakujący mogą wykonać kod na systemach z wyłączonym ASLR lub gdy uda im się ominąć ASLR.

CVE-2026-35066
Wysokie

Dell PowerFlex Manager w wersjach przed 5.1.0.1 zawiera podatność na niewłaściwą kontrolę dostępu. Atakujący z niskimi uprawnieniami, mający zdalny dostęp, może wykorzystać tę podatność, co może prowadzić do odmowy usługi.

CVE-2026-35065
Wysokie

Dell PowerFlex Manager w wersjach przed 5.1.0.1 zawiera lukę związaną z brakiem uwierzytelnienia dla krytycznych funkcji. Atakujący bez uwierzytelnienia z dostępem do sąsiedniej sieci może wykorzystać tę lukę, co może prowadzić do wykonania kodu, odmowy usługi, ujawnienia informacji, manipulacji informacjami, zdalnego wykonania, wstrzyknięcia skryptów oraz nieautoryzowanego dostępu.

CVE-2026-32804
Wysokie

Dell PowerFlex Manager w wersjach przed 5.1.0.1 zawiera podatność na niewłaściwą autoryzację. Atakujący bez autoryzacji z dostępem do sąsiedniej sieci może wykorzystać tę podatność, co prowadzi do nieautoryzowanego dostępu.

CVE-2026-22283
Wysokie

Dell PowerFlex Manager w wersjach przed 5.1.0.1 zawiera podatność na włączenie funkcjonalności z nieufnej sfery kontrolnej. Nieautoryzowany atakujący zdalnie może wykorzystać tę podatność, co może prowadzić do ujawnienia informacji.

CVE-2026-11311
Wysokie

W produkcie NGINX Gateway Fabric, gdy NGINX Plus jest skonfigurowany jako płaszczyzna danych, wykryto podatność na wstrzykiwanie kodu w komponencie generatora konfiguracji NGINX. Wartości łańcuchowe pochodzące od użytkownika z pól serverTokens w zasobie NginxProxy oraz extraAuthArgs w zasobie AuthenticationFilter są bezpośrednio renderowane do szablonów konfiguracji NGINX bez sanityzacji lub escapowania. Uwierzytelniony atakujący z uprawnieniami do tworzenia lub modyfikowania tych zasobów może wstrzyknąć dowolne dyrektywy konfiguracyjne NGINX.

PoprzedniaStrona 133 z 3389Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS