Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
Wersje Crypt::PBKDF2 przed 0.261630 dla Perla są podatne na ataki czasowe. Użycie wbudowanego porównania eq w Perlu może prowadzić do ujawnienia klucza pochodnego poprzez analizę różnic w czasie wykonania.
Quest Bot to otwartoźródłowy bot Discord, który przed wersją 1.1.8 pozwalał użytkownikom na wielokrotne tworzenie nowych kanałów biletowych bez ograniczeń. Nowa wersja nadal tworzy nowy bilet w bazie danych oraz kanał Discord dla każdego złożonego formularza biletu, nie sprawdzając, czy dany użytkownik ma już otwarty bilet.
iRM-IEI Remote Management opracowany przez IEI Integration Corp posiada lukę związaną z brakiem uwierzytelnienia, co pozwala nieautoryzowanym atakującym zdalnym na wykorzystanie określonej funkcjonalności w celu uzyskania częściowych informacji o konfiguracji systemu.
Podatność w filtrze JwsJsonContainerRequestFilter Apache CXF pozwala na przetwarzanie metadanych, które nie zostały uwierzytelnione przez akceptowany podpis. Może to prowadzić do ominięcia założeń aplikacji dotyczących metadanych `Content-Type` lub chronionych nagłówków HTTP.
W klasie AuthorizationUtils w OAuth2 występuje podatność na wstrzykiwanie CRLF. Parametr 'realm' jest łączony bez sanitizacji znaków Carriage Return (CR) i Line Feed (LF), co pozwala atakującemu na wstrzyknięcie dowolnych nagłówków HTTP lub całkowite podzielenie odpowiedzi HTTP.
Parametr 'clientId' z przychodzących żądań HTTP jest bezpośrednio łączony z komunikatami ostrzegawczymi w logach serwera OAuth2 bez sanitizacji znaków kontrolnych. To umożliwia atakującemu wstrzykiwanie dowolnych treści, w tym fałszywych wpisów logów, do plików logów serwera.
W Apache CXF występuje podatność na obejście uwierzytelniania w usłudze TokenIntrospectionService OAuth2. Z powodu braku słowa kluczowego 'throw' w sprawdzeniu kontekstu bezpieczeństwa, punkt końcowy introspekcji (/services/oauth2/introspect) może być dostępny dla każdego nieautoryzowanego atakującego w sieci.
W QEMU zidentyfikowano lukę w urządzeniu virtio-blk, która polega na niewłaściwej walidacji rozmiaru deskryptorów wejściowych przed zapisaniem danych. Złośliwy gość z wysokimi uprawnieniami może wykorzystać tę podatność, wysyłając źle sformułowane żądanie SCSI virtio-blk.
Komputer wirtualizacyjny iVEC-IEI opracowany przez IEI Integration Corp posiada podatność na atak typu Path Traversal, która umożliwia uwierzytelnionym zdalnym atakującym wykorzystanie tej podatności do tworzenia katalogów w niezamierzonych ścieżkach systemowych.
Komputer wirtualizacyjny iVEC-IEI opracowany przez IEI Integration Corp ma podatność na odczyt dowolnych plików, co pozwala zdalnym atakującym z uprawnieniami na dostęp do plików poza zamierzonym zakresem katalogów.
W oknie potwierdzenia połączenia w określonej funkcji PcSuite można obejść zabezpieczenia.
Podatność CVE-2026-9271 dotyczy określonego komponentu, który może być narażony na ataki. W szczególności, może prowadzić do nieautoryzowanego dostępu lub ujawnienia danych.
Heptabase, opracowany przez Hepta Platforms, ma podatność na ujawnioną niebezpieczną metodę lub funkcję, która pozwala nieautoryzowanym zdalnym atakującym wykorzystać techniki inżynierii społecznej do oszukania ofiary w celu otwarcia lub załadowania złośliwej strony internetowej w aplikacji Heptabase. To umożliwia uzyskanie nieautoryzowanego dostępu do uprawnień kamery i mikrofonu.
W podatności CVE-2026-48613 występuje luka typu SQL injection w migracji pól profilu phpBB, spowodowana niewłaściwym przetwarzaniem danych dostarczonych przez użytkowników. Umożliwia to wykonanie dowolnych zapytań SQL na forach phpBB, które zostały zaktualizowane z wersji wcześniejszych niż phpBB 3.3.8 i nie zostały jeszcze zaktualizowane do wersji 3.3.11 lub nowszej.
Obsługa atrybutów wirtualnych w Ping Identity PingDirectory w dotkniętych wersjach pozwala tylko autoryzowanym użytkownikom na wyczerpanie pamięci heap Java, gdy włączona jest historia ostatnich logowań i kopiowane są atrybuty wirtualne, które odnoszą się do wartości ds-privilege-name.
Wtyczka Presto Player dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez parametr 'link_url' shortcode'a [presto_player_overlay] w wersjach do 4.2.0 włącznie. Problem wynika z niewystarczającej sanitizacji danych wejściowych i ucieczki danych wyjściowych w funkcji getOverlays().
ClipBucket v5 to otwartoźródłowa platforma do udostępniania wideo, która przed wersją 5.5.3 - #141 zawierała niewłaściwe neutralizowanie znaków wieloznacznych SQL w punkcie edycji napisów. Użytkownik z autoryzacją mógł wysłać znak % jako parametr liczbowy, co pozwalało na nadpisanie wszystkich tytułów napisów dowolnego wideo, które posiadał, w jednym żądaniu HTTP.
ClipBucket v5 to otwarta platforma do udostępniania wideo. W wersjach przed 5.5.3 - #133, normalny uwierzytelniony użytkownik mógł edytować napisy wideo innego użytkownika z powodu braku autoryzacji.
Rozszerzenie Idira Identity Browser dla przeglądarek Chrome, Firefox i Edge w wersjach przed 26.8.1 zawiera błąd walidacji pochodzenia w swoich wewnętrznych procedurach weryfikacji stron internetowych. Użytkownik uwierzytelniony, który odwiedzi specjalnie przygotowaną stronę, może umożliwić zdalnemu atakującemu wywołanie nieautoryzowanej interakcji z aplikacją lub wykonanie parametrów w kontekście tej uwierzytelnionej sesji przeglądarki.
W Google Chrome przed wersją 149.0.7827.115 wystąpił błąd odczytu poza zakresem w VideoCapture, który umożliwiał zdalnemu atakującemu, który przejął proces GPU, uzyskanie potencjalnie wrażliwych informacji z pamięci procesu za pomocą spreparowanej strony HTML.

