Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-33024
Krytyczne

AVideo to platforma do udostępniania wideo. W wersjach przed 8.0 występuje podatność typu Server-Side Request Forgery (CWE-918) w publicznych punktach końcowych thumbnail, getImage.php i getImageMP4.php, które akceptują parametr GET base64Url i przekazują go do ffmpeg bez wymogu uwierzytelnienia.

CVE-2026-33017
Krytyczne

Langflow to narzędzie do budowania i wdrażania agentów oraz przepływów opartych na AI. W wersjach przed 1.9.0, punkt końcowy POST /api/v1/build_public_tmp/{flow_id}/flow pozwalał na budowanie publicznych przepływów bez wymogu uwierzytelnienia, co prowadziło do możliwości zdalnego wykonania kodu przez nieautoryzowanych użytkowników.

CVE-2026-4038
Krytyczne

Wtyczka Aimogen Pro dla WordPressa jest podatna na wywołanie dowolnej funkcji, co może prowadzić do eskalacji uprawnień z powodu braku sprawdzenia uprawnień w funkcji 'aiomatic_call_ai_function_realtime' we wszystkich wersjach do 2.7.5 włącznie. Umożliwia to nieautoryzowanym atakującym wywoływanie dowolnych funkcji WordPressa, takich jak 'update_option'.

CVE-2026-32945
Krytyczne

PJSIP to darmowa i otwarta biblioteka komunikacji multimedialnej napisana w C. Wersje 2.16 i poniżej mają podatność na przepełnienie bufora w sterowniku długości nazwy analizatora DNS, co wpływa na aplikacje korzystające z wbudowanego resolvera DNS PJSIP.

CVE-2026-32940
Krytyczne

SiYuan to system zarządzania wiedzą osobistą. W wersjach 3.6.0 i starszych, SanitizeSVG ma niekompletną listę blokowania, co pozwala na wykonanie JavaScriptu poprzez SVG z wykorzystaniem nieodpowiednio zablokowanych typów MIME.

CVE-2026-32938
Krytyczne

SiYuan to system zarządzania wiedzą osobistą. W wersjach 3.6.0 i wcześniejszych, punkt końcowy /api/lute/html2BlockDOM na komputerze lokalnym kopiuje pliki lokalne wskazywane przez linki file:// wklejonego HTML do katalogu zasobów roboczych bez walidacji ścieżek względem listy wrażliwych ścieżek.

CVE-2026-32891
Krytyczne

Anchorr to bot Discorda do zamawiania filmów i programów telewizyjnych, który w wersjach 1.4.1 i poniżej zawiera podatność XSS typu stored w selektorze użytkowników Jellyseerr. Umożliwia to dowolnemu posiadaczowi konta wykonanie arbitralnego kodu JavaScript w sesji przeglądarki administratora Anchorr.

CVE-2026-32890
Krytyczne

Anchorr to bot Discorda do zamawiania filmów i programów telewizyjnych, który w wersjach 1.4.1 i poniżej ma podatność na przechowywane Cross-site Scripting (XSS) w rozwijanym menu User Mapping w panelu webowym. Umożliwia to nieuprzywilejowanym użytkownikom Discorda wykonanie dowolnego kodu JavaScript w przeglądarce administratora Anchorr.

CVE-2026-21992
Krytyczne

Podatność w produkcie Oracle Identity Manager oraz Oracle Web Services Manager w ramach Oracle Fusion Middleware umożliwia nieautoryzowanemu atakującemu z dostępem do sieci przez HTTP przejęcie kontroli nad tymi systemami. Dotknięte wersje to 12.2.1.4.0 oraz 14.1.2.1.0.

CVE-2026-32817
Krytyczne

Admidio to otwarte rozwiązanie do zarządzania użytkownikami. W wersjach od 5.0.0 do 5.0.6 moduł dokumentów i plików nie weryfikuje, czy bieżący użytkownik ma uprawnienia do usuwania folderów lub plików, co pozwala na ich usunięcie przez nieautoryzowanych użytkowników.

CVE-2026-32771
Krytyczne

Komponent monitorowania CTFer.io odpowiada za zbieranie, przetwarzanie i przechowywanie różnych sygnałów, takich jak logi, metryki i rozproszone ślady. W wersjach przed 0.2.2 funkcja sanitizeArchivePath jest podatna na atak typu Path Traversal, co pozwala na dowolne zapisywanie plików, w tym nadpisywanie konfiguracji powłoki, kluczy SSH, kubeconfig czy crontabów.

CVE-2026-32769
Krytyczne

Fullchain to projekt do wdrażania gotowej platformy CTF. W wersjach przed 0.1.1, z powodu błędnie napisanej polityki sieciowej, złośliwy aktor może przejść z podbitej aplikacji do dowolnego Pod w innym namespace, co prowadzi do potencjalnego ruchu lateralnego.

CVE-2026-32767
Krytyczne

SiYuan to system zarządzania wiedzą osobistą. W wersjach 3.6.0 i niższych występuje luka w autoryzacji w punkcie końcowym /api/search/fullTextSearchBlock, która pozwala na wykonanie dowolnych zapytań SQL przez uwierzytelnionych użytkowników, w tym tych z rolą Czytelnika.

CVE-2026-32985
Krytyczne

Wersje Xerte Online Toolkits 3.14 i wcześniejsze zawierają podatność na nieautoryzowane przesyłanie plików w funkcjonalności importu szablonów, co pozwala zdalnym atakującym na wykonanie dowolnego kodu poprzez przesłanie spreparowanego archiwum ZIP z złośliwymi ładunkami PHP. Atakujący mogą obejść kontrole autoryzacji w pliku import.php, aby przesłać archiwum szablonu z kodem PHP w katalogu mediów.

CVE-2026-32760
Krytyczne

File Browser to interfejs zarządzania plikami, który w wersjach 2.61.2 i poniżej pozwala na rejestrację pełnego konta administratora przez nieautoryzowanych użytkowników, gdy opcja samodzielnej rejestracji jest włączona. Handler rejestracji nie ma zabezpieczeń, które uniemożliwiają nadawanie uprawnień administratora nowym użytkownikom.

CVE-2026-29103
Krytyczne

W SuiteCRM 7.15.0 i 8.9.2 występuje krytyczna podatność na zdalne wykonanie kodu (RCE), która pozwala uwierzytelnionym administratorom na wykonywanie dowolnych poleceń systemowych. Jest to bezpośrednie obejście poprawki CVE-2024-49774, a problem dotyczy błędnego przetwarzania tokenów PHP w pliku ModuleScanner.php.

CVE-2026-22732
Krytyczne

W aplikacjach korzystających z Spring Security istnieje problem z zapisywaniem nagłówków HTTP w odpowiedziach serwletów. Dotyczy to aplikacji, które używają leniwego zapisywania nagłówków HTTP w wersjach od 5.7.0 do 5.7.21, od 5.8.0 do 5.8.23, od 6.3.0 do 6.3.14, od 6.4.0 do 6.4.14, od 6.5.0 do 6.5.8 oraz od 7.0.0 do 7.0.3.

CVE-2026-32754
Krytyczne

FreeScout to darmowy system pomocy technicznej i wspólna skrzynka odbiorcza zbudowana na frameworku Laravel. Wersje 1.8.208 i wcześniejsze są podatne na przechowywane ataki Cross-Site Scripting (XSS) poprzez szablony powiadomień e-mail, co pozwala na wstrzyknięcie złośliwego kodu przez nieautoryzowanych użytkowników.

CVE-2026-32751
Krytyczne

SiYuan to system zarządzania wiedzą osobistą. W wersjach 3.6.0 i wcześniejszych, mobilne drzewo plików (MobileFiles.ts) renderuje nazwy notatników za pomocą innerHTML bez ucieczki HTML podczas przetwarzania zdarzeń WebSocket renamenotebook. Użytkownik z odpowiednimi uprawnieniami może wstrzyknąć dowolny kod HTML/JavaScript, który zostanie wykonany na każdym mobilnym kliencie przeglądającym drzewo plików.

CVE-2026-32194
Krytyczne

W Microsoft Bing Images występuje niewłaściwe neutralizowanie specjalnych elementów używanych w poleceniach, co prowadzi do podatności na wstrzyknięcie poleceń ('command injection'). Umożliwia to nieautoryzowanemu atakującemu wykonanie kodu przez sieć.

PoprzedniaStrona 138 z 562Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS