Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.16)

CVE-2023-54365
Wysokie

Podatność w Traefik przed wersją 2.10.5 i 3.0.0-beta4 umożliwia atak DoS przez szybkie tworzenie i anulowanie strumieni HTTP/2 (technika Rapid Reset). Problem pochodzi z implementacji HTTP/2 w standardowej bibliotece Go.

CVE-2026-10521
Wysokie

Wysokoprawny atakujący zdalnie może uzyskać dostęp do ukrytej metody konfiguracyjnej, która nie powinna być dostępna dla żadnego użytkownika, aby zmodyfikować krytyczne parametry programu.

CVE-2026-8379
Wysokie

Wtyczka Frontend File Manager dla WordPressa do wersji 23.6 nie wymusza poprawnie sprawdzenia nonce w obsłudze pobierania plików, co pozwala nieautoryzowanym atakującym na pobieranie plików przesłanych przez dowolnego użytkownika.

CVE-2026-8172
Wysokie

Wtyczka Simple Basic Contact Form dla WordPressa do wersji 20250114 nie zabezpiecza danych wejściowych dostarczonych przez użytkowników przed ich wyświetleniem w formularzu kontaktowym w przypadku błędów walidacji, co prowadzi do podatności na Reflected Cross-Site Scripting.

CVE-2026-8163
Wysokie

Wtyczka Infility Global dla WordPressa przed wersją 2.15.19 nieprawidłowo sanitizuje i ucieka niektóre parametry przed ich użyciem w zapytaniach SQL, co prowadzi do podatności na atak typu SQL Injection. Atak ten może być wykorzystany przez uwierzytelnionych użytkowników z dostępem na poziomie Subskrybenta i wyżej.

CVE-2026-11833
Wysokie

W FAST/TOOLS i CI Server odkryto podatność, która pozwala serwerowi WWW na zwrócenie informacji o ustawieniach CI Server. Te informacje mogą być wykorzystane przez atakującego do przeprowadzenia innych ataków.

CVE-2026-10658
Wysokie

Podatność w stosie Bluetooth Zephyra (subsys/bluetooth/host/iso.c) pozwala złośliwemu kontrolerowi lub sąsiedniemu urządzeniu BLE na wysłanie krótkiego pakietu ISO, co prowadzi do odczytu poza zakresem bufora, a w przypadku fragmentacji do zapisu poza zakresem. Problem istnieje od wersji v2.6.0 do v4.4.0 i dotyczy konfiguracji z włączonym odbiorem ISO (CONFIG_BT_ISO_RX).

CVE-2026-10651
Wysokie

W stosie Bluetooth BR/EDR systemu Zephyr wykryto podatność polegającą na odczycie poza zakresem bufora w funkcji bt_sdp_parse_attribute(). Atakujący może wysłać specjalnie spreparowany rekord SDP o długości dokładnie 3 bajtów, co powoduje odczyt jednego bajtu poza koniec bufora. Problem występuje w wersjach Zephyr v4.3.0 i v4.4.0.

CVE-2026-54232
Wysokie

vLLM, silnik do wnioskowania i serwowania dużych modeli językowych, ma podatność na atak związany z myleniem zależności w wersji przed 0.22.1. Atakujący może zarejestrować pakiet flashinfer-jit-cache na PyPI, co pozwala na wykonanie dowolnego kodu jako root podczas budowy obrazu Docker.

CVE-2026-53923
Wysokie

vLLM, silnik do wnioskowania i serwowania dużych modeli językowych, ma podatność na truncację liczb całkowitych w wymiarach tensorów, co prowadzi do częściowego przetwarzania tensorów. W wyniku tego, niepełna część tensoru wyjściowego może zawierać dane z pamięci GPU, co prowadzi do ujawnienia informacji.

CVE-2026-41523
Wysokie

W vLLM przed wersją 0.22.0 wykryto podatność polegającą na braku odpowiedniego zabezpieczenia w funkcji ładującej aktywacje. Umożliwia ona nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnego kodu na serwerze poprzez opublikowanie złośliwego modelu na HuggingFace, gdy vLLM działa w zoptymalizowanym trybie Pythona (python -O lub PYTHONOPTIMIZE=1).

CVE-2026-56324
Wysokie

Capgo w wersjach przed 12.128.2 zawiera podatność na obejście limitu szybkości w punkcie końcowym channel_self, co pozwala atakującym na ominięcie ograniczeń poprzez rotację parametru device_id kontrolowanego przez użytkownika.

CVE-2026-56323
Wysokie

Capgo w wersjach przed 12.128.2 zawiera podatność na ujawnienie informacji w punkcie końcowym /functions/v1/channel_self, która pozwala nieautoryzowanym atakującym na enumerację nazw kanałów niepublicznych oraz określenie istnienia aplikacji i statusu subskrypcji. Atakujący mogą wysyłać żądania GET z dowolnymi parametrami app_id, aby ujawniać wewnętrzne kanały wdrożeniowe.

CVE-2026-56314
Wysokie

Capgo w wersjach przed 12.128.12 nie filtruje usuniętych wersji aplikacji podczas łączenia kanałów w trakcie rozwiązywania aktualizacji, co pozwala na pozostawienie usuniętych pakietów jako dostępnych do wyboru.

CVE-2026-56280
Wysokie

Cap-go przed wersją 12.128.2 zawiera podatność na inwersję uprawnień w GET /build/logs/:jobId, która pozwala posiadaczom kluczy API tylko do odczytu na anulowanie działających natywnych budów. Punkt końcowy rejestruje nasłuchiwacz przerwania na strumieniu SSE, który bezwarunkowo wywołuje cancelBuildOnDisconnect() przy użyciu uprzywilejowanego klucza BUILDER_API_KEY.

CVE-2026-56268
Wysokie

Flowise w wersjach przed 3.1.2 zawiera podatność na ujawnienie informacji w punkcie końcowym /api/v1/chatflows/apikey/:apikey. Brak parametru zapytania keyonly powoduje, że punkt końcowy zwraca nie tylko chatflow związane z dostarczonym kluczem API, ale także wszystkie chatflow w każdym workspace, które nie mają przypisanego klucza API.

CVE-2026-56266
Wysokie

Crawl4AI przed wersją 0.8.7 zawiera podatność na fałszowanie żądań po stronie serwera (SSRF) w endpointach /crawl, /crawl/stream, /md i /llm, które pobierają dowolne adresy URL podane przez użytkownika bez walidacji. Nieuwierzytelnieni atakujący mogą ominąć blokadę adresów wewnętrznych za pomocą adresów IPv6 mapowanych na IPv4, aby uzyskać dostęp do wewnętrznych usług i punktów końcowych metadanych chmury.

CVE-2026-55409
Wysokie

Filament to zbiór komponentów do przyspieszonego rozwoju w Laravel. W wersjach od 3.0.0 do 3.3.53, wyłączone pole RichEditor renderowało swój surowy stan bez sanitizacji HTML, co umożliwiało atakującym wstrzykiwanie złośliwego HTML lub JavaScript, prowadząc do XSS.

CVE-2026-54281
Wysokie

W frameworku Nest, przed wersją 11.1.24, występowała podatność na obejście uwierzytelniania w @nestjs/platform-fastify. Klient, który nie jest uwierzytelniony, może obejść middleware Nest, dodając ukośnik (/) na końcu adresu URL żądania.

CVE-2026-48517
Wysokie

W bibliotece MessagePack dla C# występuje podatność związana z deserializacją typów, która nie sprawdza rekurencyjnie typów elementów tablicy ani argumentów typów generycznych. To może prowadzić do sytuacji, w której niebezpieczny typ, który powinien być zablokowany, może zostać zdeserializowany, jeśli jest opakowany w tablicę lub typ generyczny.

PoprzedniaStrona 147 z 3421Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS