Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-0116
Krytyczne

W funkcji __mfc_handle_released_buf w pliku mfc_core_isr.c występuje możliwe zapisanie poza granicami bufora z powodu braku sprawdzenia granic. Może to prowadzić do zdalnego wykonania kodu bez potrzeby dodatkowych uprawnień wykonawczych.

CVE-2026-0114
Krytyczne

W Modem występuje możliwe zapisanie danych poza przydzielonym obszarem pamięci z powodu nieprawidłowego sprawdzenia granic. Może to prowadzić do zdalnego wykonania kodu bez potrzeby dodatkowych uprawnień wykonawczych.

CVE-2026-0113
Krytyczne

W funkcji ns_GetUserData w pliku ns_SmscbUtilities.c występuje możliwe zapisanie danych poza przydzielonym obszarem pamięci z powodu błędnego sprawdzenia granic. Może to prowadzić do zdalnego podniesienia uprawnień bez potrzeby dodatkowych uprawnień wykonawczych.

CVE-2026-0111
Krytyczne

W funkcji ns_GetUserData w pliku ns_SmscbUtilities.c występuje możliwe zapisanie poza przydzielonym zakresem z powodu błędnego sprawdzenia granic. Może to prowadzić do zdalnego podniesienia uprawnień bez potrzeby dodatkowych uprawnień wykonawczych.

CVE-2026-0110
Krytyczne

W MM_DATA_IND pliku cn_NrSmMsgHdlrFromMM.cpp występuje możliwe podniesienie uprawnień (EoP) z powodu uszkodzenia pamięci. Może to prowadzić do zdalnego podniesienia uprawnień bez potrzeby dodatkowych uprawnień wykonawczych.

CVE-2026-29793
Krytyczne

Feathersjs to framework do tworzenia interfejsów API i aplikacji w czasie rzeczywistym z użyciem TypeScript lub JavaScript. W wersjach od 5.0.0 do przed 5.0.42 klienci Socket.IO mogą wysyłać dowolne obiekty JavaScript jako argument id do metod serwisowych, co prowadzi do braku sprawdzania typu tego argumentu.

CVE-2026-29792
Krytyczne

Feathersjs to framework do tworzenia interfejsów API i aplikacji w czasie rzeczywistym. W wersjach od 5.0.0 do przed 5.0.42, nieautoryzowany atakujący może wysłać spreparowane żądanie GET do /oauth/:provider/callback z fałszywym profilem w ciągu zapytań, co pozwala na uzyskanie ważnego tokena dostępu dla istniejącego użytkownika.

CVE-2026-28495
Krytyczne

GetSimple CMS to system zarządzania treścią. Wtyczka massiveAdmin (v6.0.3) dołączona do GetSimpleCMS-CE v3.3.22 pozwala uwierzytelnionemu administratorowi na nadpisanie pliku konfiguracyjnego gsconfig.php dowolnym kodem PHP za pomocą modułu edytora gsconfig. Formularz nie ma ochrony CSRF, co umożliwia zdalnemu, nieautoryzowanemu atakującemu wykorzystanie tego poprzez Cross-Site Request Forgery przeciwko zalogowanemu administratorowi, co prowadzi do zdalnego wykonania kodu (RCE) na serwerze WWW.

CVE-2026-27825
Krytyczne

MCP Atlassian to serwer Model Context Protocol (MCP) dla produktów Atlassian (Confluence i Jira). W wersjach przed 0.17.0 narzędzie `confluence_download_attachment` akceptuje parametr `download_path`, który nie jest odpowiednio zabezpieczony przed zapisem w nieautoryzowanych lokalizacjach, co pozwala atakującemu na wykonanie dowolnego kodu.

CVE-2025-48611
Krytyczne

W pliku DeviceId.java występuje potencjalny problem z synchronizacją w trwałości z powodu braku sprawdzenia granic. Może to prowadzić do lokalnego podniesienia uprawnień bez potrzeby dodatkowych uprawnień wykonawczych.

CVE-2026-28292
KrytyczneEPSS 67%

Biblioteka `simple-git` dla Node.js w wersjach od 3.15.0 do 3.32.2 zawiera podatność umożliwiającą ominięcie poprawek dla CVE-2022-25860 i CVE-2022-25912. Atakujący może wykorzystać ten błąd do zdalnego wykonania kodu na hoście.

CVE-2026-3843
Krytyczne

System automatyzacji stacji benzynowej Nefteprodukttekhnika BUK TS-G w wersji 2.9.1 na systemie Linux zawiera podatność typu SQL Injection w module konfiguracji systemu. Zdalny atakujący może wysłać specjalnie przygotowane żądania HTTP POST do punktu końcowego /php/request.php, aby wykonać dowolne polecenia SQL.

CVE-2026-30970
Krytyczne

Coral Server przed wersją 1.1.0 umożliwiał tworzenie sesji agentów przez punkt końcowy /api/v1/sessions bez silnej autoryzacji. Punkt ten wykonuje operacje inicjalizacyjne wymagające dużych zasobów, co może być wykorzystane przez atakującego.

CVE-2026-30969
Krytyczne

Coral Server to infrastruktura współpracy, która umożliwia komunikację i koordynację w ramach Internetu Agentów. W wersjach przed 1.1.0, Coral Server nie wymuszał silnej autoryzacji między agentami a serwerem w aktywnej sesji, co mogło pozwolić atakującemu na podszycie się pod agenta lub dołączenie do istniejącej sesji.

CVE-2026-30968
Krytyczne

Coral Server to infrastruktura otwartej współpracy, która umożliwia komunikację i koordynację w Internecie Agentów. W wersjach przed 1.1.0 punkt końcowy SSE (/sse/v1/...) nie weryfikował w sposób silny, czy łączący się agent był legalnym uczestnikiem sesji, co mogło teoretycznie umożliwić nieautoryzowane wstrzykiwanie lub obserwację wiadomości.

CVE-2026-30957
Krytyczne

OneUptime to rozwiązanie do monitorowania i zarządzania usługami online. Przed wersją 10.0.21, syntetyczne monitory OneUptime pozwalały użytkownikom projektu z niskimi uprawnieniami na wykonywanie dowolnych poleceń na serwerze/kontenerze oneuptime-probe.

CVE-2026-30956
Krytyczne

OneUptime to rozwiązanie do monitorowania i zarządzania usługami online. W wersjach przed 10.0.21, użytkownik o niskich uprawnieniach może obejść autoryzację i izolację najemców w OneUptime v10.0.20 i wcześniejszych, wysyłając sfałszowany nagłówek is-multi-tenant-query wraz z kontrolowanym nagłówkiem projectid.

CVE-2026-30930
Krytyczne

Glances to narzędzie do monitorowania systemów, które przed wersją 4.5.1 miało moduł eksportu TimescaleDB, który konstruował zapytania SQL za pomocą konkatenacji łańcuchów z niesanitowanymi danymi monitorowania systemu. Metoda normalize() otacza wartości łańcuchowe pojedynczymi cudzysłowami, ale nie ucieka od osadzonych pojedynczych cudzysłowów, co umożliwia łatwe wstrzykiwanie SQL.

CVE-2025-69615
Krytyczne

Brak odpowiedniej kontroli dostępu spowodowany brakiem limitowania prób 2FA umożliwia nieograniczone próby ataku brute-force oraz całkowite obejście MFA bez interakcji użytkownika. Dotyczy to portalu zarządzania kontem Telekom Deutsche Telekom AG w wersjach przed 2025-10-24.

CVE-2025-69614
Krytyczne

Błędna kontrola dostępu poprzez ponowne użycie tokena aktywacyjnego na końcówce resetowania hasła, co umożliwia nieautoryzowane resetowanie haseł oraz pełne przejęcie konta.

PoprzedniaStrona 147 z 562Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS