Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-12026
Średnie

Podatność w Google Chrome na ChromeOS przed wersją 149.0.7827.115 umożliwia zdalnemu atakującemu, który skompromitował proces renderowania, odczyt poza zakresem w module Video, co może prowadzić do ujawnienia potencjalnie wrażliwych informacji z pamięci procesu za pomocą spreparowanej strony HTML.

CVE-2026-12025
Średnie

Niewystarczająca walidacja niezaufanego wejścia w sieci w Google Chrome przed wersją 149.0.7827.115 umożliwiła zdalnemu atakującemu, który przejął proces renderowania, wyciek danych między źródłami za pomocą spreparowanej strony HTML.

CVE-2026-12024
Średnie

Niewystarczające egzekwowanie polityki w DevTools w Google Chrome przed wersją 149.0.7827.115 umożliwia zdalnemu atakującemu obejście polityki same origin za pomocą spreparowanej strony HTML.

CVE-2026-12015
Średnie

Wykorzystanie po zwolnieniu pamięci w funkcji Autofill w Google Chrome przed wersją 149.0.7827.115 umożliwia zdalnemu atakującemu, który przejął proces renderera, uzyskanie potencjalnie wrażliwych informacji z pamięci procesu za pomocą spreparowanej strony HTML.

CVE-2026-53818
Średnie

OpenClaw przed wersją 2026.4.24 zawiera lukę w autoryzacji w funkcji pętli zwrotnej MCP, która pozwala na ominięcie polityk narzędzi przeznaczonych tylko dla właścicieli. Atakujący mogą wywołać zachowanie zarezerwowane dla właścicieli za pomocą tej podatnej ścieżki pętli zwrotnej.

CVE-2026-53815
Średnie

OpenClaw przed wersją 2026.5.19 zawiera lukę w autoryzacji, która pozwala na ominięcie kontroli listy dozwolonych kanałów podczas odczytu wiadomości. Użytkownicy o niższym poziomie zaufania mogą żądać wiadomości z kanałów, do których nie mają dostępu, co może prowadzić do ujawnienia wrażliwych informacji.

CVE-2026-53808
Średnie

OpenClaw w wersjach przed 2026.5.6 zawiera lukę umożliwiającą obejście polityki zatwierdzania w procesie aplikacji w Skill Workshop. Umożliwia to atakującym wywołanie narzędzi agenta, które mogą ustawić apply: true mimo konfiguracji approvalPolicy: pending.

CVE-2026-53781
Średnie

Podatność w Summarize przed wersją 0.17.0 pozwala zdalnym atakującym na wyczerpanie zasobów dyskowych poprzez serwowanie odpowiedzi medialnych, które omijają narzucone limity rozmiaru. Może to nastąpić przez brak lub błędnie zgłoszone nagłówki Content-Length, kodowanie transferu chunked lub nieudane żądania HEAD.

CVE-2026-49949
Średnie

CodexBar w wersjach przed 0.33.0 zawiera podatność na przekazywanie poświadczeń, która umożliwia atakującym z sieci lokalnej przechwytywanie wrażliwych poświadczeń. Atakujący mogą przekierowywać żądania z poświadczeniami do niezamierzonych hostów lub portów, co pozwala na przechwycenie danych takich jak ciasteczka przeglądarki, tokeny dostępu czy klucze API.

CVE-2026-45802
Średnie

FPDI to zbiór klas PHP, które umożliwiają odczytywanie stron z istniejących dokumentów PDF i używanie ich jako szablonów w FPDF. Przed wersją 2.6.7, atakujący mógł przesłać mały, złośliwy plik PDF, co prowadziło do awarii skryptu po stronie serwera z powodu wyczerpania pamięci lub przekroczenia czasu wykonywania skryptu.

CVE-2026-53702
Średnie

W bibliotece parsera kodeka H.265 GStreamer (gst-plugins-bad) odkryto błąd przepełnienia bufora stosu. Błąd ten występuje podczas analizy wiadomości SEI dotyczącej okresu buforowania, gdzie używana jest nieprawidłowa granica pętli, co może prowadzić do zapisu poza przydzielonymi granicami pamięci stosu.

CVE-2026-53701
Średnie

W GStreamerze w parserze PPS dla H.266/VVC odkryto podatność na zapis poza granicami. W trakcie przetwarzania wieloslice'owego w funkcji gst_h266_parser_parse_picture_partition() pętla nie sprawdza, czy indeks slice'a pozostaje w granicach, co prowadzi do zapisu poza trzy tablice o stałej wielkości.

CVE-2026-47250
Średnie

mcp-server-kubernetes to serwer Model Context Protocol do zarządzania klastrami Kubernetes. W wersjach przed 3.7.0 narzędzie kubectl_generic przekazuje dostarczone przez użytkownika flagi bez żadnej listy dozwolonych, co umożliwia atak eskalacji uprawnień w środowiskach Kubernetes.

CVE-2026-47177
Średnie

Quest Bot to otwartoźródłowy nowoczesny bot Discord, który przed wersją 1.0.4 pozwalał użytkownikom konfigurować ustawienia bota, w tym kanał do przesyłania transkryptów biletów. Użytkownicy mogli ustawić ten kanał na taki, który mogli czytać, co prowadziło do ujawnienia prywatnych wiadomości biletów.

CVE-2026-47176
Średnie

Quest Bot to nowoczesny bot Discord typu open source, który przed wersją 1.0.4 pozwalał użytkownikom konfigurować ustawienia logowania, co skutkowało rejestrowaniem treści usuniętych i edytowanych wiadomości z każdego kanału, w tym prywatnych, do których użytkownik nie miał dostępu.

CVE-2026-47173
Średnie

Quest Bot to nowoczesny bot Discord, który przed wersją 1.0.3 pozwalał normalnym użytkownikom na tworzenie zgłoszeń z powodami zawierającymi wzmianki @everyone, @here, wzmianki użytkowników lub ról. W momencie tworzenia zgłoszenia, bot publikował kontrolowany przez atakującego powód w nowym kanale zgłoszeń, nie tłumiąc wzmianków.

CVE-2026-47167
Średnie

W edytorze tekstu Vim przed wersją 9.2.0496 występuje podatność na wstrzykiwanie kodu w funkcji s:stepmatch() wtyczki dla typu pliku cucumber. Wzorce definicji kroków odczytywane z plików .rb mogą być wykorzystane do wykonania dowolnych poleceń Ruby, co stwarza ryzyko wykonania złośliwego kodu.

CVE-2025-46313
Średnie

Problem z logowaniem został rozwiązany poprzez poprawę redakcji danych. Aplikacja może mieć dostęp do wrażliwych danych użytkownika.

CVE-2025-46308
Średnie

Problem z autoryzacją został rozwiązany poprzez poprawę zarządzania stanem. Aplikacja może być w stanie ujawnić wrażliwe informacje użytkownika.

CVE-2025-46293
Średnie

Problem dotyczy niewłaściwego zarządzania dowiązaniami symbolicznymi, co może pozwolić aplikacji na dostęp do chronionych danych użytkownika. Został naprawiony w macOS Sequoia 15.4.

PoprzedniaStrona 134 z 560Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS