Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-27657
Wysokie

Podatność w Gitea przed wersją 1.25.5 umożliwia użytkownikowi zmianę głównego adresu e-mail innego użytkownika.

CVE-2026-26231
Wysokie

Podatność w Gitea do wersji 1.26.1 włącznie umożliwia użytkownikom z uprawnieniem 'Zezwalaj na edycje od opiekunów' zatwierdzanie zmian w repozytoriach, do których mają dostęp tylko do odczytu, ale nie powinni mieć prawa zapisu.

CVE-2026-25712
Wysokie

Podatność w Gitea przed wersją 1.25.5 umożliwia nieautoryzowany dostęp do informacji o ukrytych członkach i prywatnych organizacjach poprzez API uprawnień organizacji. Brak wystarczających kontroli widoczności pozwala na ujawnienie danych, które powinny być chronione.

CVE-2026-25038
Wysokie

W Gitea 1.26.2 nieautoryzowani użytkownicy mogą uzyskać dostęp do etykiet prywatnych organizacji. Podatność ta umożliwia odczyt danych, które powinny być chronione przed osobami nieposiadającymi odpowiednich uprawnień.

CVE-2026-24690
Wysokie

Podatność w Gitea przed wersją 1.25.5 wynika z niewystarczającego sprawdzania uprawnień podczas aktualizacji lub przebazowywania gałęzi żądań pull. Osoba atakująca może wykorzystać ten błąd do nieautoryzowanej modyfikacji gałęzi.

CVE-2026-24451
Wysokie

Podatność w Gitea 1.26.2 umożliwia kontynuację synchronizacji forka po zmianie repozytorium nadrzędnego z publicznego na prywatne, co prowadzi do nieautoryzowanego dostępu do danych.

CVE-2026-22555
Wysokie

Podatność w Gitea przed wersją 1.26.0 umożliwia użytkownikom API forkowanie repozytorium do organizacji bez przejścia kontroli CanCreateOrgRepo, co może ujawnić tajemnice organizacji.

CVE-2026-20779
Wysokie

Podatność w Gitea w wersjach od 1.5.0 do 1.26.2 pozwala na wielokrotne użycie tego samego kodu TOTP w procesie uwierzytelniania dwuskładnikowego przez web oraz Basic Auth z nagłówkiem X-Gitea-OTP.

CVE-2026-12481
Wysokie

W bibliotece Keras w wersji 3.14.0 wykryto podatność umożliwiającą zdalne wykonanie kodu. Problem wynika z nieprawidłowego traktowania wartości `None` w funkcji `_raise_for_lambda_deserialization()`, która domyślnie nie wymusza trybu bezpiecznego deserializacji. Atakujący może wykorzystać to do wstrzyknięcia złośliwego kodu przez warstwę `Lambda`.

CVE-2026-14606
Wysokie

W bibliotece RT-Thread do wersji 5.0.2 wykryto podatność w funkcji CAN_Receive w pliku SWM341.h komponentu SWM341 CAN Handler. Lokalny atakujący może wywołać przepełnienie bufora na stosie poprzez manipulację danymi. Publicznie dostępny exploit umożliwia przeprowadzenie ataku.

CVE-2026-14605
Wysokie

W bibliotece RT-Thread do wersji 5.0.2 w komponencie ls1c CAN Handler znaleziono podatność na przepełnienie bufora stosu w funkcji recvmsg. Atak wymaga lokalnego dostępu, a exploit jest publicznie dostępny.

CVE-2026-58379
Wysokie

W parserze formatu Paint Shop Pro (PSP) w GIMP-ie wykryto podatność na przepełnienie bufora sterty. Błąd wynika z nieprawidłowego obliczania rozmiarów buforów podczas przetwarzania obrazów o niskiej głębi bitowej, co umożliwia zdalnemu atakującemu wykonanie dowolnego kodu lub wywołanie odmowy usługi (DoS) poprzez nakłonienie użytkownika do otwarcia specjalnie spreparowanego pliku PSP.

CVE-2026-53478
WysokieEPSS 65%

Produkt Dell PowerProtect Data Domain w wielu wersjach zawiera podatność na wstrzykiwanie poleceń systemu operacyjnego. Wysoko uprzywilejowany atakujący z dostępem zdalnym może wykorzystać tę lukę do wykonania dowolnych poleceń.

CVE-2026-49815
WysokieEPSS 62%

Produkt Dell PowerProtect Data Domain w wielu wersjach zawiera podatność na wstrzykiwanie poleceń systemu operacyjnego. Wysoko uprzywilejowany atakujący z dostępem zdalnym może wykorzystać tę lukę do wykonania dowolnych poleceń systemowych.

CVE-2026-49814
WysokieEPSS 65%

Produkt Dell PowerProtect Data Domain w wielu wersjach zawiera podatność na wstrzykiwanie poleceń systemu operacyjnego. Wysoko uprzywilejowany atakujący z dostępem zdalnym może wykorzystać tę lukę do wykonania dowolnych poleceń.

CVE-2026-14460
Wysokie

Brak autoryzacji w oprogramowaniu pardus-software od TUBITAK BILGEM umożliwia wstrzyknięcie argumentów. Podatność dotyczy wersji 1.0.4 i wcześniejszych, przed wydaniem wersji 1.0.5.

CVE-2026-14459
Wysokie

Podatność w oprogramowaniu pardus-software firmy TUBITAK BILGEM umożliwia wstrzykiwanie argumentów do poleceń. Problem występuje w wersjach do 1.0.4 włącznie, a został naprawiony w wersji 1.0.5.

CVE-2026-13341
Wysokie

Podatność w serwerze Kong Konnect Model Context Protocol (MCP) przed wersją 1.0.0 umożliwia zdalnemu atakującemu przeprowadzenie pośredniego ataku polegającego na wstrzyknięciu polecenia (prompt injection) i wykonanie niezamierzonych żądań API.

CVE-2026-10055
Wysokie

W Eclipse Theia od wersji 1.26.0 backendowy punkt końcowy /services/request-service RPC akceptuje adres URL kontrolowany przez atakującego z dowolnego klienta podłączonego do standardowego punktu końcowego /services, wykonuje żądanie HTTP po stronie serwera i zwraca pełną treść odpowiedzi. Ponieważ docelowy adres URL nie jest walidowany ani dozwolony, zdalny atakujący z dostępem do połączenia usługi Theia może wysyłać żądania HTTP po stronie serwera do localhost lub innych hostów dostępnych z backendu i odczytywać ich odpowiedzi.

CVE-2026-10054
Wysokie

W podatnych wersjach Eclipse Theia (1.8.1 i nowsze) backend przeglądarki udostępnia uprzywilejowane RPC terminala przez WebSocket bez uwierzytelniania na poziomie usługi. Walidacja pochodzenia WebSocket jest zawodna, a atakujący może przejąć kontrolę nad terminalem.

PoprzedniaStrona 14 z 3343Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS