Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-2330
Krytyczne

Atakujący może uzyskać dostęp do zastrzeżonych obszarów systemu plików na urządzeniu za pośrednictwem interfejsu CROWN REST z powodu niekompletnego egzekwowania białej listy. Niektóre katalogi przeznaczone do testów wewnętrznych nie były objęte białą listą i są dostępne bez uwierzytelnienia.

CVE-2026-29183
Krytyczne

SiYuan to system zarządzania wiedzą osobistą. Przed wersją 3.5.9 występowała podatność na refleksyjny XSS w punkcie końcowym API dynamicznych ikon 'GET /api/icon/getDynamicIcon', gdy type=8, co pozwalało na wstrzyknięcie kontrolowanej przez atakującego treści do wyjścia SVG bez odpowiedniego zabezpieczenia.

CVE-2026-29065
Krytyczne

changedetection.io to darmowe narzędzie open source do wykrywania zmian na stronach internetowych. Przed wersją 0.54.4 istniała podatność Zip Slip w funkcjonalności przywracania kopii zapasowych, która pozwalała na nadpisywanie dowolnych plików poprzez przejście ścieżki w przesyłanych archiwach ZIP.

CVE-2026-29058
Krytyczne

AVideo to oprogramowanie platformy do udostępniania wideo. Przed wersją 7.0, nieautoryzowany atakujący mógł wykonać dowolne polecenia systemowe na serwerze poprzez wstrzyknięcie substytucji polecenia powłoki do parametru GET base64Url. Może to prowadzić do pełnego kompromitacji serwera, wycieku danych oraz zakłócenia usług.

CVE-2026-29042
Krytyczne

Nuclio to framework 'Serverless' do przetwarzania zdarzeń i danych w czasie rzeczywistym. W wersjach przed 1.15.20 komponent Nuclio Shell Runtime zawierał podatność na wstrzyknięcie poleceń, ponieważ przetwarzał argumenty dostarczane przez użytkownika bez walidacji lub sanitizacji.

CVE-2026-28802
Krytyczne

Biblioteka Authlib w wersjach od 1.6.5 do 1.6.6 nieprawidłowo weryfikowała tokeny JWT z algorytmem 'none' i pustym podpisem, przepuszczając je mimo oczekiwanego błędu. Luka została naprawiona w wersji 1.6.7.

CVE-2026-28795
Krytyczne

OpenChatBI to inteligentne narzędzie BI oparte na czacie, które umożliwia użytkownikom zadawanie pytań, analizowanie i wizualizowanie danych za pomocą naturalnych rozmów. Przed wersją 0.2.2 narzędzie save_report w pliku openchatbi/tool/save_report.py ma krytyczną podatność na przejście ścieżki z powodu niewystarczającej sanitacji wejścia parametru file_format.

CVE-2026-28438
Krytyczne

CocoIndex to framework do transformacji danych dla AI. Przed wersją 0.3.34, konektor docelowy Doris nie weryfikował skonfigurowanej nazwy tabeli przed tworzeniem niektórych instrukcji SQL (ALTER TABLE), co prowadziło do podatności na wstrzykiwanie SQL, jeśli nazwa tabeli była dostarczana przez niezaufane źródło.

CVE-2026-2446
Krytyczne

Wtyczka PowerPack dla LearnDash w WordPressie przed wersją 1.3.0 nie posiada kontroli autoryzacji oraz zabezpieczeń przed atakami CSRF w akcji AJAX, co umożliwia nieautoryzowanym użytkownikom aktualizację dowolnych opcji WordPressa (np. default_role) oraz tworzenie dowolnych użytkowników z uprawnieniami administratora.

CVE-2026-28794
Krytyczne

W narzędziu oRPC, które służy do budowy API zgodnych z OpenAPI, przed wersją 1.13.6 występowała podatność na zanieczyszczenie prototypu w deserializerze JSON RPC pakietu @orpc/client. Ta podatność pozwalała nieautoryzowanym, zdalnym atakującym na wstrzykiwanie dowolnych właściwości do globalnego Object.prototype.

CVE-2026-28785
Krytyczne

Ghostfolio to oprogramowanie do zarządzania majątkiem typu open source. Przed wersją 2.244.0, omijając walidację symboli, atakujący mógł wykonać dowolne polecenia SQL za pomocą metody getHistorical(), co potencjalnie pozwalało na odczyt, modyfikację lub usunięcie wrażliwych danych finansowych wszystkich użytkowników w bazie danych.

CVE-2026-28680
Krytyczne

Ghostfolio to oprogramowanie do zarządzania majątkiem typu open source. Przed wersją 2.245.0, atakujący mógł wykorzystać funkcję ręcznego importu aktywów do przeprowadzenia pełnego odczytu SSRF, co pozwalało na eksfiltrację wrażliwych metadanych chmurowych (IMDS) lub skanowanie wewnętrznych usług sieciowych.

CVE-2026-27005
Krytyczne

Chartbrew to aplikacja webowa typu open-source, która może łączyć się bezpośrednio z bazami danych i API, wykorzystując dane do tworzenia wykresów. Przed wersją 4.8.3, nieautoryzowany atakujący mógł wstrzyknąć dowolne zapytanie SQL do zapytań wykonywanych na bazach danych połączonych z Chartbrew (MySQL, PostgreSQL).

CVE-2026-28501
Krytyczne

AVideo to otwartoźródłowa platforma wideo, która przed wersją 24.0 zawierała podatność na SQL Injection w komponentach objects/videos.json.php oraz objects/video.php. Problem wynika z niewłaściwego oczyszczania parametru catName w przypadku, gdy jest on dostarczany w formacie JSON w ciele żądania POST.

CVE-2026-28497
Krytyczne

TinyWeb to serwer WWW (HTTP, HTTPS) napisany w Delphi dla Win32. Przed wersją 2.03 występuje podatność na przepełnienie całkowitej liczby w procedurze konwersji ciągu na liczbę (_Val), co pozwala nieautoryzowanemu zdalnemu atakującemu na obejście ograniczeń Content-Length i przeprowadzenie ataku HTTP Request Smuggling.

CVE-2025-59543
Krytyczne

Chamilo to system zarządzania nauczaniem. Przed wersją 1.11.34 występowała podatność na przechowywane ataki XSS, która pozwalała atakującemu z niskimi uprawnieniami na wstrzyknięcie złośliwego kodu JavaScript do opisu kursu, co umożliwiało wykonanie tego kodu w kontekście innych użytkowników, w tym administratorów.

CVE-2025-59542
Krytyczne

Chamilo to system zarządzania nauczaniem. Przed wersją 1.11.34 występowała podatność na przechowywane ataki XSS, która pozwalała atakującemu z niskimi uprawnieniami na wstrzyknięcie złośliwego kodu JavaScript, co mogło prowadzić do przejęcia konta użytkowników o wyższych uprawnieniach.

CVE-2026-28710
Krytyczne

Podatność CVE-2026-28710 dotyczy ujawnienia i manipulacji wrażliwymi informacjami z powodu niewłaściwej autoryzacji. Dotyczy to produktów Acronis Cyber Protect 17 (Linux, Windows) przed wersją 41186.

CVE-2026-22552
Krytyczne

Punkty końcowe WebSocket nie mają odpowiednich mechanizmów uwierzytelniania, co umożliwia atakującym podszywanie się pod stacje i manipulowanie danymi wysyłanymi do zaplecza. Atakujący bez uwierzytelnienia może połączyć się z punktem końcowym OCPP WebSocket, używając znanego identyfikatora stacji ładowania.

CVE-2026-21536
Krytyczne

Podatność w programie cenowym urządzeń Microsoft umożliwia zdalne wykonanie kodu. Atakujący może wykorzystać tę lukę, aby przejąć kontrolę nad systemem.

PoprzedniaStrona 150 z 562Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS