Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-50765
Średnie

W systemie Koha Library Management System w wersjach od 0 do 25.11 odkryto podatność na trwałe XSS w panelu administracyjnym typów ograniczeń dla czytelników. Umożliwia ona uwierzytelnionemu zdalnemu atakującemu z uprawnieniami administratora wstrzyknięcie dowolnego skryptu przez pole etykiety typu ograniczenia (display_text).

CVE-2026-49984
Wysokie

W Kestra przed wersjami 1.0.45 i 1.3.23 lokalny backend przechowywania wewnętrznego nieprawidłowo waliduje ścieżki użytkownika, umożliwiając atakującemu przemycenie sekwencji przejścia do katalogu nadrzędnego za pomocą ukośników odwrotnych (..\..\..\) przed konwersją na ukośniki zwykłe. Uwierzytelniony użytkownik z najniższymi uprawnieniami może odczytać dowolny plik w systemie plików serwera, w tym bazę H2, przechowywane sekrety i dane uwierzytelniające.

CVE-2026-49869
Krytyczne

W Kestra OSS przed wersjami 1.0.45 i 1.3.21, filtr AuthenticationFilter używa metody endsWith("/configs") do sprawdzenia, czy żądanie dotyczy publicznego endpointu konfiguracji. Ponieważ jest to dopasowanie sufiksu, a nie dokładnej ścieżki, każdy interfejs API, którego ostatni segment to "configs", omija uwierzytelnianie. Niezautoryzowany atakujący może wykorzystać tę lukę do tworzenia i wykonywania dowolnych przepływów pracy bez poświadczeń.

CVE-2026-45807
Wysokie

W Kestra przed wersjami 1.0.43 i 1.3.19, kilka endpointów API akceptuje URI kestra:// od klienta i przekazuje je do funkcji StorageInterface.parentTraversalGuard przed odczytaniem pliku z lokalnego backendu pamięci masowej. Ochrona sprawdza tylko literalny URI.toString(), więc zakodowany URL .. zapisany jako %2E%2E przechodzi przez nią. Następnie kod wywołuje URI.getPath(), który dekoduje %2E%2E z powrotem na .., a wynikowa ścieżka jest przekazywana do Paths.get(...) bez normalizacji. System operacyjny rozwiązuje segmenty .. w momencie wywołania open(2), więc uwierzytelniony użytkownik z pojedynczym wykonaniem może odczytać dowolny plik, do którego proces Kestra ma dostęp w systemie plików hosta (/etc/passwd, zamontowane sekrety, wyniki wykonań innych dzierżawców itp.).

CVE-2026-38571
Średnie

W nieuwierzytelnionej konsoli debugowania UART routera Tenda N300 F3 (wersja V603) dane uwierzytelniające WPA2 są przechowywane i udostępniane w postaci jawnego tekstu, a polecenia odczytu/zapisu pamięci (rr/wr) nie wymagają autoryzacji. Fizycznie bliski atakujący może uzyskać te dane oraz dowolnie odczytywać lub zapisywać pamięć przez port szeregowy.

CVE-2026-36908
Średnie

W bibliotece Bento4 przed wersją 1.8.9 wykryto przepełnienie stosu w komponencie AP4_Array<AP4_TrunAtom::Entry>::EnsureCapacity. Atakujący może wykorzystać tę podatność, dostarczając spreparowany plik MP4, co prowadzi do odmowy usługi (DoS).

CVE-2026-36907
Średnie

W bibliotece Bento4 przed wersją 1.8.9 wykryto przepełnienie stosu w komponencie AP4_StsdAtom::AP4_StsdAtom. Atakujący może wykorzystać tę podatność, dostarczając spreparowany plik MP4, co prowadzi do odmowy usługi (DoS).

CVE-2026-36478
Wysokie

Podatność w serwerze DNS Technitium w wersji 14.3 i wcześniejszych umożliwia zdalnemu atakującemu przeprowadzenie ataku typu Denial of Service (DoS) poprzez komponenty DnsServerApp.exe, DnsServerApp.dll oraz TechnitiumLibrary.Net/Dns/DnsClient.cs.

CVE-2026-54353
Wysokie

Budibase przed wersją 3.39.9 zawiera podatność na atak SSRF z wykorzystaniem DNS rebinding. Uwierzytelnieni użytkownicy z uprawnieniami automatyzacji mogą ominąć czarną listę adresów IP, ponieważ walidacja hosta przed wysłaniem żądania nie jest powiązana z rzeczywistym połączeniem.

CVE-2026-54352
Krytyczne

Budibase przed wersją 3.39.9 zawiera podatność polegającą na nieprawidłowej walidacji dowiązań symbolicznych podczas przetwarzania plików ZIP. Atakujący na poziomie builder może wstrzyknąć dowiązanie symboliczne wskazujące na dowolny plik w systemie, który zostanie odczytany i przesłany do MinIO, a następnie udostępniony przez API.

CVE-2026-54351
Wysokie

Budibase przed wersją 3.39.9 zawiera podatność w punkcie końcowym webhooka, który jest publicznie dostępny i przekazuje pełne ciało żądania HTTP do parametrów automatyzacji. Atakujący może nadpisać wewnętrzną właściwość appId, co pozwala na wykonanie automatyzacji w kontekście ofiary i uzyskanie pełnego dostępu do jej bazy danych.

CVE-2026-54350
Krytyczne

Budibase przed wersją 3.39.12 zawiera podatność, która pozwala nieuwierzytelnionemu użytkownikowi na odczytanie wszystkich dokumentów z kolekcji MongoDB, CouchDB, Elasticsearch, DynamoDB-PartiQL lub REST-with-JSON-body, a w przypadku publicznych zapytań typu write również na modyfikację wszystkich dokumentów za pomocą jednego żądania HTTP. Problem wynika z nieprawidłowego walidowania danych wejściowych w funkcji validateQueryInputs, która odrzuca tylko znaczniki Handlebars, ale nie escapuje metaznaków JSON, co umożliwia wstrzyknięcie dodatkowych pól do obiektu filtra.

CVE-2026-52885
Średnie

W Notepad++ przed wersją 8.9.6.4 występuje podatność TOCTOU (Time-of-Check Time-of-Use) w obsłudze pliku shortcuts.xml. Sprawdzanie HMAC odbywa się w momencie wykonania polecenia, ale dane polecenia są pobierane z pamięci, która nie jest synchronizowana z plikiem na dysku. Atakujący może podmienić plik przed uruchomieniem, a następnie przywrócić oryginalny, co pozwala na wykonanie złośliwego polecenia.

CVE-2026-52884
Wysokie

Notepad++ w wersji 8.9.6.1 zawiera podatność polegającą na braku kanonizacji ścieżki przed sprawdzeniem w funkcji isInTrustedDirectory(). Funkcja ta używa sprawdzania prefiksu, co pozwala na obejście zabezpieczenia poprzez ścieżkę zawierającą sekwencję ..\..\ po zaufanym prefiksie, prowadząc do niezaufanej lokalizacji. Luka została załatana w wersji 8.9.6.2.

CVE-2026-50137
Krytyczne

Budibase przed wersją 3.39.0 zawiera podatność, która pozwala anonimowemu atakującemu na uzyskanie podpisanej URL do zapisu do dowolnego zasobnika S3, do którego ofiara ma dostęp. Atak wymaga znajomości identyfikatora przestrzeni roboczej i źródła danych S3, ale nie wymaga uwierzytelnienia.

CVE-2026-50136
Wysokie

Budibase przed wersją 3.39.3 udostępnia nieuwierzytelniony endpoint generujący podpisane URL-e S3 PutObject przy użyciu poświadczeń z datasource przestrzeni roboczej. Trasa jest chroniona tylko przez middleware recaptcha i nie wymaga uwierzytelnienia, uprawnień do tabeli, datasource ani dostępu budowniczego.

CVE-2026-50132
Wysokie

Podatność w Budibase przed wersją 3.39.0 umożliwia atakującemu trwałe powiązanie konta ofiary z zewnętrzną tożsamością czatu (Slack/Discord/MS Teams) bez zgody użytkownika. Publiczny endpoint nie wymaga uwierzytelnienia ani ochrony CSRF, a atak polega na nakłonieniu uwierzytelnionego użytkownika do odwiedzenia spreparowanego URL.

CVE-2026-48800
Wysokie

Notepad++ przed wersją 8.9.6.1 zawiera podatność polegającą na braku walidacji treści tagu <Command> w pliku shortcuts.xml. Atakujący może wstrzyknąć dowolne polecenie, które zostanie wykonane po kliknięciu przez użytkownika odpowiedniej pozycji w menu Run.

CVE-2026-48778
WysokieEPSS 68%

Notepad++ przed wersją 8.9.6.1 zawiera podatność polegającą na braku walidacji wartości tagu <GUIConfig name="commandLineInterpreter"> w pliku config.xml. Atakujący może zmodyfikować ten plik, aby przy otwarciu konsoli (File → Open Containing Folder → cmd) uruchomić dowolne polecenie z uprawnieniami użytkownika.

CVE-2026-48770
Średnie

Notepad++ przed wersją 8.9.6.1 zawiera podatność polegającą na nieprawidłowym przetwarzaniu wiadomości WM_COPYDATA. Lokalny proces w tej samej sesji Windows może wysłać spreparowaną wiadomość, która nie sprawdza długości danych, co może prowadzić do przepełnienia bufora.

PoprzedniaStrona 155 z 4563Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS