Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2017-20240
Średnie

Wersje Crypt::PBKDF2 przed 0.261630 dla Perla są podatne na ataki czasowe. Użycie wbudowanego porównania eq w Perlu może prowadzić do ujawnienia klucza pochodnego poprzez analizę różnic w czasie wykonania.

CVE-2026-49347
Średnie

Quest Bot to otwartoźródłowy bot Discord, który przed wersją 1.1.8 pozwalał użytkownikom na wielokrotne tworzenie nowych kanałów biletowych bez ograniczeń. Nowa wersja nadal tworzy nowy bilet w bazie danych oraz kanał Discord dla każdego złożonego formularza biletu, nie sprawdzając, czy dany użytkownik ma już otwarty bilet.

CVE-2026-11848
Średnie

iRM-IEI Remote Management opracowany przez IEI Integration Corp posiada lukę związaną z brakiem uwierzytelnienia, co pozwala nieautoryzowanym atakującym zdalnym na wykorzystanie określonej funkcjonalności w celu uzyskania częściowych informacji o konfiguracji systemu.

CVE-2026-50634
Średnie

Podatność w filtrze JwsJsonContainerRequestFilter Apache CXF pozwala na przetwarzanie metadanych, które nie zostały uwierzytelnione przez akceptowany podpis. Może to prowadzić do ominięcia założeń aplikacji dotyczących metadanych `Content-Type` lub chronionych nagłówków HTTP.

CVE-2026-50630
Średnie

W klasie AuthorizationUtils w OAuth2 występuje podatność na wstrzykiwanie CRLF. Parametr 'realm' jest łączony bez sanitizacji znaków Carriage Return (CR) i Line Feed (LF), co pozwala atakującemu na wstrzyknięcie dowolnych nagłówków HTTP lub całkowite podzielenie odpowiedzi HTTP.

CVE-2026-50629
Średnie

Parametr 'clientId' z przychodzących żądań HTTP jest bezpośrednio łączony z komunikatami ostrzegawczymi w logach serwera OAuth2 bez sanitizacji znaków kontrolnych. To umożliwia atakującemu wstrzykiwanie dowolnych treści, w tym fałszywych wpisów logów, do plików logów serwera.

CVE-2026-50623
Średnie

W Apache CXF występuje podatność na obejście uwierzytelniania w usłudze TokenIntrospectionService OAuth2. Z powodu braku słowa kluczowego 'throw' w sprawdzeniu kontekstu bezpieczeństwa, punkt końcowy introspekcji (/services/oauth2/introspect) może być dostępny dla każdego nieautoryzowanego atakującego w sieci.

CVE-2026-48914
Średnie

W QEMU zidentyfikowano lukę w urządzeniu virtio-blk, która polega na niewłaściwej walidacji rozmiaru deskryptorów wejściowych przed zapisaniem danych. Złośliwy gość z wysokimi uprawnieniami może wykorzystać tę podatność, wysyłając źle sformułowane żądanie SCSI virtio-blk.

CVE-2026-11847
Średnie

Komputer wirtualizacyjny iVEC-IEI opracowany przez IEI Integration Corp posiada podatność na atak typu Path Traversal, która umożliwia uwierzytelnionym zdalnym atakującym wykorzystanie tej podatności do tworzenia katalogów w niezamierzonych ścieżkach systemowych.

CVE-2026-11844
Średnie

Komputer wirtualizacyjny iVEC-IEI opracowany przez IEI Integration Corp ma podatność na odczyt dowolnych plików, co pozwala zdalnym atakującym z uprawnieniami na dostęp do plików poza zamierzonym zakresem katalogów.

CVE-2026-12058
Średnie

W oknie potwierdzenia połączenia w określonej funkcji PcSuite można obejść zabezpieczenia.

CVE-2026-9271
Średnie

Podatność CVE-2026-9271 dotyczy określonego komponentu, który może być narażony na ataki. W szczególności, może prowadzić do nieautoryzowanego dostępu lub ujawnienia danych.

CVE-2026-12060
Średnie

Heptabase, opracowany przez Hepta Platforms, ma podatność na ujawnioną niebezpieczną metodę lub funkcję, która pozwala nieautoryzowanym zdalnym atakującym wykorzystać techniki inżynierii społecznej do oszukania ofiary w celu otwarcia lub załadowania złośliwej strony internetowej w aplikacji Heptabase. To umożliwia uzyskanie nieautoryzowanego dostępu do uprawnień kamery i mikrofonu.

CVE-2026-48613
Średnie

W podatności CVE-2026-48613 występuje luka typu SQL injection w migracji pól profilu phpBB, spowodowana niewłaściwym przetwarzaniem danych dostarczonych przez użytkowników. Umożliwia to wykonanie dowolnych zapytań SQL na forach phpBB, które zostały zaktualizowane z wersji wcześniejszych niż phpBB 3.3.8 i nie zostały jeszcze zaktualizowane do wersji 3.3.11 lub nowszej.

CVE-2026-20746
Średnie

Obsługa atrybutów wirtualnych w Ping Identity PingDirectory w dotkniętych wersjach pozwala tylko autoryzowanym użytkownikom na wyczerpanie pamięci heap Java, gdy włączona jest historia ostatnich logowań i kopiowane są atrybuty wirtualne, które odnoszą się do wartości ds-privilege-name.

CVE-2026-9125
Średnie

Wtyczka Presto Player dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez parametr 'link_url' shortcode'a [presto_player_overlay] w wersjach do 4.2.0 włącznie. Problem wynika z niewystarczającej sanitizacji danych wejściowych i ucieczki danych wyjściowych w funkcji getOverlays().

CVE-2026-49482
Średnie

ClipBucket v5 to otwartoźródłowa platforma do udostępniania wideo, która przed wersją 5.5.3 - #141 zawierała niewłaściwe neutralizowanie znaków wieloznacznych SQL w punkcie edycji napisów. Użytkownik z autoryzacją mógł wysłać znak % jako parametr liczbowy, co pozwalało na nadpisanie wszystkich tytułów napisów dowolnego wideo, które posiadał, w jednym żądaniu HTTP.

CVE-2026-47238
Średnie

ClipBucket v5 to otwarta platforma do udostępniania wideo. W wersjach przed 5.5.3 - #133, normalny uwierzytelniony użytkownik mógł edytować napisy wideo innego użytkownika z powodu braku autoryzacji.

CVE-2026-45173
Średnie

Rozszerzenie Idira Identity Browser dla przeglądarek Chrome, Firefox i Edge w wersjach przed 26.8.1 zawiera błąd walidacji pochodzenia w swoich wewnętrznych procedurach weryfikacji stron internetowych. Użytkownik uwierzytelniony, który odwiedzi specjalnie przygotowaną stronę, może umożliwić zdalnemu atakującemu wywołanie nieautoryzowanej interakcji z aplikacją lub wykonanie parametrów w kontekście tej uwierzytelnionej sesji przeglądarki.

CVE-2026-12033
Średnie

W Google Chrome przed wersją 149.0.7827.115 wystąpił błąd odczytu poza zakresem w VideoCapture, który umożliwiał zdalnemu atakującemu, który przejął proces GPU, uzyskanie potencjalnie wrażliwych informacji z pamięci procesu za pomocą spreparowanej strony HTML.

PoprzedniaStrona 133 z 560Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS