Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-10528
Niskie

W serwerze DICOM Orthanc do wersji 1.12.11 odkryto lukę bezpieczeństwa, która dotyczy funkcji DcmItem::read w pliku OrthancFramework/Sources/DicomParsing/FromDcmtkBridge.cpp. Manipulacja tą funkcją prowadzi do przepełnienia bufora na stosie, co wymaga lokalnego ataku.

CVE-2026-10514
Niskie

Wykryto podatność w 1Panel-dev CordysCRM do wersji 1.6.2, która dotyczy nieznanej funkcji w pliku backend/framework/src/main/java/cn/cordys/config/RequestParamTrimConfig.java. Manipulacja tą funkcją prowadzi do ataków typu cross site scripting.

CVE-2026-24761
Niskie

Kiteworks, będący prywatną siecią danych, zawierał podatność typu Insecure Direct Object Reference (IDOR) przed wersją 9.3.0. Umożliwia ona uwierzytelnionemu użytkownikowi dostęp do metadanych zasobów należących do innych użytkowników z powodu niewystarczających kontroli autoryzacji dotyczących własności zasobów.

CVE-2026-10300
Niskie

Wykryto podatność w SGLang 0.5.10.post1, która dotyczy nieznanej funkcji w pliku python/sglang/srt/lora/lora_manager.py komponentu Inference HTTP Endpoint. Manipulacja argumentem lora_path prowadzi do osiągalnej asercji.

CVE-2026-10299
Niskie

Zidentyfikowano słabość w systemie zarządzania szpitalem Online Hospital Management System w wersji 1.0. Problem dotyczy nieznanego przetwarzania pliku viewdoctortimings.php, gdzie manipulacja argumentem delid prowadzi do niewłaściwej kontroli identyfikatorów zasobów.

CVE-2026-10298
Niskie

Wykryto lukę bezpieczeństwa w ggml-org whisper.cpp do wersji 1.8.2, która dotyczy funkcji whisper_model_load w pliku ggml/src/ggml.c. Manipulacja prowadzi do dereferencji wskaźnika null.

CVE-2026-10295
Niskie

W aplikacji SourceCodester Customer Review App w wersji 1.0 odkryto podatność, która dotyczy funkcji add_review/save_review/get_all_reviews w pliku review_app.py. Manipulacja argumentami name/comment prowadzi do odmowy usługi.

CVE-2026-28586
Niskie

W wielu funkcjach pliku AppOpsService.java występuje możliwe pominięcie sprawdzenia uprawnień z powodu obejścia zabezpieczeń. Może to prowadzić do lokalnego ujawnienia informacji bez potrzeby dodatkowych uprawnień wykonawczych.

CVE-2026-0056
Niskie

W funkcji setTo w pliku ResourceTypes.cpp występuje możliwe odczytanie danych poza przydzielonym zakresem z powodu błędnego sprawdzenia granic. Może to prowadzić do lokalnego ujawnienia informacji bez potrzeby dodatkowych uprawnień wykonawczych.

CVE-2026-0050
Niskie

W metodzie handleBondStateChanged w pliku AdapterService.java występuje możliwe ujawnienie wrażliwych informacji z powodu obejścia uprawnień. Może to prowadzić do lokalnego ujawnienia informacji bez potrzeby dodatkowych uprawnień wykonawczych.

CVE-2026-0016
Niskie

W metodzie updateProvidersWhenServiceRemoved w CredentialManagerService.java istnieje możliwość obejścia uprawnień, co pozwala na nadpisanie ustawień między użytkownikami. Może to prowadzić do ujawnienia lokalnych informacji bez potrzeby dodatkowych uprawnień wykonawczych.

CVE-2025-48616
Niskie

W kilku funkcjach pliku KeyguardViewMediator.java istnieje możliwość ominięcia trybu blokady ekranu z powodu błędu logicznego w kodzie. Może to prowadzić do ujawnienia lokalnych informacji bez potrzeby dodatkowych uprawnień wykonawczych.

CVE-2026-5419
Niskie

W bibliotece GnuTLS wykryto podatność polegającą na tym, że sprawdzanie dopełnienia PKCS#7 podczas deszyfrowania nie było wykonywane w stałym czasie. Ta różnica czasowa może pozwolić zdalnemu atakującemu na wyciek wrażliwych informacji o bajtach dopełnienia poprzez obserwację czasu operacji.

CVE-2026-45278
Niskie

Nextcloud to otwartoźródłowa platforma do współpracy nad treścią. W wersjach od 6.1.0 do przed 8.2.2, atakujący może stworzyć linki, które przekierowują użytkowników na inną stronę, gdy ofiara loguje się za pomocą linku atakującego przez OIDC. Problem został naprawiony w wersji 8.2.2.

CVE-2026-45277
Niskie

Nextcloud to otwartoźródłowa platforma do współpracy nad treścią. Przed wersją 2.7.2 uwierzytelnieni użytkownicy mogli sprawdzić, czy dowolne pliki są powiązane z określonymi procesami zatwierdzania, w ramach których mogli żądać zatwierdzenia. Problem ten został naprawiony w wersji 2.7.2.

CVE-2026-30963
Niskie

Capsule to framework wielo-tenantowy dla Kubernetes, który wykorzystuje webhook do weryfikacji żądań aktualizacji przestrzeni nazw. W wersjach przed 0.13.0 brakowało reguł przechwytywania dla subzasobów namespace/finalize i namespace/status, co umożliwiało przejęcie przestrzeni nazw przez administratora tenantów.

CVE-2026-45266
Niskie

Nextcloud to platforma do współpracy nad treścią typu open source. Przed wersjami 21.1.10, 22.0.11 i 23.0.3, użytkownik o niskich uprawnieniach mógł wymusić wyciszenie mikrofonów innych użytkowników podczas rozmów, gdy nie był zainstalowany High-performance Backend. Problem został naprawiony w wersjach 21.1.10, 22.0.11 i 23.0.3.

CVE-2026-45159
Niskie

Nextcloud to platforma do współpracy nad treścią typu open source. W wersjach od 1.15.0 do przed 1.15.4, 1.16.0 do przed 1.16.3, 1.17.0 do przed 1.17.1 oraz 1.18.0 do przed 1.18.1, złośliwy użytkownik mający dostęp do linku do przesyłania plików szyfrowanych end-to-end mógł również przesyłać pliki do innych folderów szyfrowanych end-to-end właściciela udostępnienia. Odczyt i modyfikacja innych plików nie były możliwe.

CVE-2026-45155
Niskie

W Nextcloud Server w wersjach od 32.0.0 do przed 32.0.7 oraz od 33.0.0 do przed 33.0.1 występuje brak weryfikacji dostępu na poziomie API, co pozwala na dodawanie nieznanych kręgów za pomocą ich identyfikatorów do innych kręgów. Choć złożoność identyfikatorów kręgów wynosi domyślnie 62^15, co utrudnia ich wykorzystanie, to w przypadku uzyskania dostępu do identyfikatora z innego źródła, członkostwa mogą być śledzone.

CVE-2026-45154
Niskie

Nextcloud to platforma do współpracy nad treścią typu open source. W wersjach od 2.6.0 do przed 4.3.0, po usunięciu wcześniejszych stron zbiorowych, goście z dostępem do zbioru mogli uzyskać dostęp do usuniętych stron bezpośrednio z kosza.

PoprzedniaStrona 17 z 63Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS