Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-26222
Krytyczne

Altec DocLink w wersji 4.0.336.0, zarządzany obecnie przez Beyond Limits Inc., udostępnia niebezpieczne punkty końcowe .NET Remoting przez TCP i HTTP/SOAP. Usługa nie wymaga uwierzytelnienia i jest podatna na niebezpieczne deserializowanie obiektów, co pozwala atakującym na odczyt dowolnych plików z systemu.

CVE-2026-27590
Krytyczne

Caddy przed wersją 2.11.1 miał problem z logiką dzielenia ścieżki FastCGI, co prowadziło do obliczania indeksu podziału na zniekształconej wersji ścieżki żądania. To mogło skutkować nieprawidłowym określeniem `SCRIPT_NAME`, `SCRIPT_FILENAME` i `PATH_INFO`, co w efekcie mogło prowadzić do wykonania niezamierzonych plików PHP.

CVE-2026-27588
Krytyczne

Caddy to rozbudowana platforma serwerowa, która domyślnie używa TLS. Przed wersją 2.11.1, matcher żądań HTTP `host` był dokumentowany jako niewrażliwy na wielkość liter, jednak przy dużej liście hostów (>100 wpisów) staje się wrażliwy na wielkość liter, co umożliwia atakującemu ominięcie routingu opartego na hoście oraz wszelkich kontroli dostępu związanych z tą trasą.

CVE-2026-27587
Krytyczne

Caddy to rozbudowana platforma serwerowa, która domyślnie używa TLS. W wersjach przed 2.11.1, matcher ścieżek HTTP w Caddy miał być niewrażliwy na wielkość liter, jednak w przypadku wzorców zawierających sekwencje percent-escape (`%xx`), porównywał je z zakodowaną ścieżką żądania bez konwersji na małe litery.

CVE-2026-27586
Krytyczne

Caddy to rozbudowana platforma serwerowa, która domyślnie używa TLS. W wersjach przed 2.11.1, dwa zignorowane błędy w `ClientAuthentication.provision()` powodują, że uwierzytelnianie certyfikatów klienckich mTLS cicho zawodzi, gdy plik certyfikatu CA jest brakujący, nieczytelny lub uszkodzony.

CVE-2026-27515
Krytyczne

Oprogramowanie układowe przełącznika sieciowego Binardat 10G08-0800GSM w wersjach wcześniejszych niż V300SP10260209 generuje przewidywalne numeryczne identyfikatory sesji w interfejsie zarządzania przez sieć. Atakujący może odgadnąć ważne identyfikatory sesji i przejąć uwierzytelnione sesje.

CVE-2026-27507
Krytyczne

Oprogramowanie układowe przełącznika sieciowego Binardat 10G08-0800GSM w wersji V300SP10260209 i wcześniejszych zawiera wbudowane dane logowania administracyjnego, które nie mogą być zmieniane przez użytkowników. Znajomość tych danych umożliwia pełny dostęp administracyjny do urządzenia.

CVE-2025-69985
Krytyczne

FUXA w wersji 1.2.8 i wcześniejszych zawiera podatność na obejście uwierzytelniania, co prowadzi do zdalnego wykonania kodu (RCE). Problem występuje w middleware server/api/jwt-helper.js, który niewłaściwie ufa nagłówkowi HTTP 'Referer' przy walidacji wewnętrznych żądań.

CVE-2026-27208
Krytyczne

Wersja 1.0.0 biblioteki bleon-ethical/api-gateway-deploy jest podatna na atak wykorzystujący wstrzyknięcie poleceń systemowych oraz eskalację uprawnień. Atakujący może wykonywać dowolne polecenia z uprawnieniami roota w kontenerze, co może prowadzić do ucieczki z kontenera i nieautoryzowanych modyfikacji infrastruktury.

CVE-2026-2807
Krytyczne

W przeglądarce Firefox 147 i kliencie poczty Thunderbird 147 wykryto błędy bezpieczeństwa pamięci. Niektóre z nich powodowały uszkodzenie pamięci, co mogło potencjalnie umożliwić zdalne wykonanie kodu. Luki zostały załatane w wersjach Firefox 148 i Thunderbird 148.

CVE-2026-2806
Krytyczne

W podatności CVE-2026-2806 występuje niezainicjowana pamięć w komponencie Graficznym: Tekst. Problem ten został naprawiony w wersjach Firefox 148 i Thunderbird 148.

CVE-2026-2805
Krytyczne

Podatność związana z nieprawidłowym wskaźnikiem w DOM w komponentach Core i HTML. Została naprawiona w wersjach Firefox 148 i Thunderbird 148.

CVE-2026-2800
Krytyczne

Problem z fałszowaniem w komponencie WebAuthn w przeglądarce Firefox na Androida. Ta podatność została naprawiona w wersji Firefox 148 oraz Thunderbird 148.

CVE-2026-2799
Krytyczne

Podatność use-after-free w komponencie DOM: Core & HTML przeglądarki Firefox i klienta poczty Thunderbird. Luka została naprawiona w wersjach 148 tych aplikacji.

CVE-2026-2797
Krytyczne

W komponencie JavaScript: GC przeglądarki Firefox i klienta poczty Thunderbird wykryto podatność use-after-free. Luka została załatana w wersjach 148 tych aplikacji.

CVE-2026-2796
Krytyczne

W komponencie JavaScript: WebAssembly w przeglądarce Firefox i kliencie poczty Thunderbird wystąpił błąd kompilacji JIT (Just-In-Time), który może prowadzić do nieprawidłowego działania kodu. Luka została naprawiona w wersjach 148 tych produktów.

CVE-2026-2795
Krytyczne

W komponencie JavaScript: GC przeglądarki Firefox i klienta poczty Thunderbird wykryto podatność use-after-free. Luka została naprawiona w wersjach 148 tych aplikacji.

CVE-2026-2793
Krytyczne

W przeglądarkach Firefox ESR 115.32, Firefox ESR 140.7, Thunderbird ESR 140.7, Firefox 147 i Thunderbird 147 wykryto błędy bezpieczeństwa pamięci. Niektóre z nich prowadziły do uszkodzenia pamięci, co mogło umożliwić zdalne wykonanie kodu.

CVE-2026-2792
Krytyczne

W przeglądarkach Firefox ESR 140.7, Firefox 147 oraz klientach poczty Thunderbird ESR 140.7 i Thunderbird 147 wykryto błędy bezpieczeństwa pamięci. Niektóre z nich mogły prowadzić do uszkodzenia pamięci, co przy odpowiednim nakładzie pracy mogło umożliwić zdalne wykonanie dowolnego kodu.

CVE-2026-2791
Krytyczne

Podatność CVE-2026-2791 dotyczy obejścia środków zaradczych w komponencie sieciowym: pamięć podręczna. Została naprawiona w wersjach Firefox 148, Firefox ESR 140.8, Thunderbird 148 oraz Thunderbird 140.8.

PoprzedniaStrona 164 z 562Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS