Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-57913
Wysokie

Podatność w systemie Johnson & Johnson Audit Tracking Management System (ATMS) przed wersją z 21 kwietnia 2026 roku umożliwia nieautoryzowany dostęp do protokołów i transkryptów spotkań.

CVE-2026-57912
Wysokie

Podatność w systemie rekrutacyjnym Johnson & Johnson Campus Recruiting przed 31 października 2025 roku umożliwia nieautoryzowany wgląd w dane osobowe kandydatów oraz notatki sporządzone przez rekruterów.

CVE-2026-57473
Średnie

Podatność w usługach netclient i factory w Reolink Home Hub (wersje przed v3.3.0.456_26031911) umożliwia atak brute-force na poświadczenia. Atakujący w tej samej sieci lokalnej może przechwycić ruch między Hubem a kamerami i skompromitować ich dane logowania.

CVE-2026-13325
Wysokie

W KubeVirt znaleziono poważną lukę w proxy migracji. Gdy w zasobie niestandardowym KubeVirt ustawiono spec.configuration.migrations.disableTLS na true, docelowy virt-handler tworzy zwykły nasłuch TCP na wszystkich interfejsach (0.0.0.0/::) na losowym porcie bez uwierzytelniania, listy dozwolonych peerów ani tokena uzgadniania. Ten nasłuch proxy bezpośrednio do gniazda kontrolnego virtqemud docelowego virt-launchera.

CVE-2025-7958
Wysokie

Podatność typu Code Injection w Trellix Network Security CM i NX umożliwia lokalnie uwierzytelnionemu administratorowi wykonanie dowolnego kodu poprzez interfejs webowy i szczegóły artefaktu Alert.

CVE-2026-6658
Średnie

Podatność w jupyter/nbconvert w wersjach do 7.17.0 umożliwia atak typu Cross-site Scripting (XSS) przez niesanitowane dane wyjściowe `text/vnd.mermaid` w eksporcie HTML. Blok `data_mermaid` w szablonie `share/templates/lab/base.html.j2` renderuje zawartość komórki `text/vnd.mermaid` bezpośrednio do HTML bez odpowiedniego escapingu, co pozwala atakującemu na wstrzyknięcie dowolnego kodu HTML/JavaScript poprzez wyjście poza znacznik `<pre>`.

CVE-2026-1869
Średnie

Wtyczka User Registration & Membership dla WordPressa w wersjach do 5.2.0 zawiera podatność polegającą na braku walidacji w funkcji confirm_payment(). Umożliwia to nieuwierzytelnionym atakującym ominięcie procesu płatności i aktywację płatnych członkostw.

CVE-2026-11702
Wysokie

Podatność w bibliotece Bytes::Random::Secure::Tiny dla Perla (wersje do 1.011) powoduje współdzielenie wewnętrznego stanu generatora liczb losowych (PRNG) pomiędzy procesami potomnymi po wykonaniu fork(). Jeśli obiekt zostanie zainicjalizowany przed forkiem, wszystkie procesy będą produkować identyczne ciągi losowe.

CVE-2026-11625
Wysokie

Podatność w bibliotece Bytes::Random::Secure dla Perla do wersji 0.29 powoduje współdzielenie wewnętrznego stanu generatora liczb losowych (PRNG) pomiędzy procesami potomnymi po wykonaniu fork(). Gdy obiekt jest inicjalizowany przed forkiem lub używany jest interfejs funkcyjny, procesy potomne otrzymują identyczne strumienie losowe.

CVE-2026-57881
Krytyczne

W urządzeniach GeoVision GV-LPC2011 i GV-LPC2211 w wersji V1.12 i wcześniejszych, w komponencie vlsvr, występuje podatność na przepełnienie bufora stosu. Niezautoryzowany atakujący może zdalnie wykorzystać tę lukę, wysyłając spreparowane dane logowania z nadmiernie długimi danymi wejściowymi, co prowadzi do uszkodzenia pamięci, odmowy usługi lub potencjalnie zdalnego wykonania kodu.

CVE-2026-57880
Krytyczne

W urządzeniach GeoVision GV-LPC2011 i GV-LPC2211 w wersji V1.12 i wcześniejszych wykryto podatność na przepełnienie bufora stosu w komponencie ssvr. Problem wynika z niewystarczającego sprawdzania granic podczas parsowania pól uwierzytelniania RTSP Digest. Zdalny, nieuwierzytelniony atakujący może wykorzystać tę lukę, wysyłając spreparowane żądanie RTSP z nadmiernie długimi danymi uwierzytelniającymi, co prowadzi do uszkodzenia pamięci, odmowy usługi lub potencjalnie zdalnego wykonania kodu.

CVE-2026-57879
Krytyczne

W urządzeniach GeoVision GV-LPC2011 i GV-LPC2211 w wersji V1.12 i wcześniejszych wykryto podatność na przepełnienie bufora stosu w komponencie ssvr. Problem wynika z niewystarczającego sprawdzania granic podczas przetwarzania niestandardowych danych uwierzytelniających RTSP. Zdalny, nieuwierzytelniony atakujący może wykorzystać tę lukę, wysyłając spreparowane żądanie RTSP, co może prowadzić do uszkodzenia pamięci, odmowy usługi lub potencjalnie wykonania dowolnego kodu.

CVE-2026-57878
Krytyczne

W urządzeniach GeoVision GV-LPC2011 i GV-LPC2211 w wersji V1.12 i wcześniejszych, w serwerze HTTP thttpd, występuje podatność na przepełnienie bufora stosu. Luka wynika z niewystarczającego sprawdzania granic podczas przetwarzania parametrów żądań HTTP w określonej ścieżce. Zdalny, nieuwierzytelniony atakujący może wysłać spreparowane żądanie HTTP z nadmiernie długim wejściem, co prowadzi do uszkodzenia pamięci, odmowy usługi lub potencjalnie zdalnego wykonania kodu.

CVE-2026-57877
Wysokie

W urządzeniach GeoVision GV-LPC2011 i GV-LPC2211 w wersji V1.12 i wcześniejszych wykryto podatność na atak typu format string w komponencie vlsvr. Luka występuje w ścieżce logowania, gdzie nieprawidłowo obsługiwane są dane wejściowe podczas formatowania komunikatów dziennika. Zdalny, nieuwierzytelniony atakujący może wysłać spreparowane dane logowania, co może prowadzić do ujawnienia informacji, uszkodzenia pamięci lub odmowy usługi.

CVE-2026-57876
Wysokie

W urządzeniach GeoVision GV-LPC2011 i GV-LPC2211 w wersji V1.12 i wcześniejszych, w pliku onvif.cgi występuje podatność na zapis poza dozwolonym zakresem pamięci. Brak odpowiedniego sprawdzania granic podczas przetwarzania danych w żądaniu HTTP umożliwia nieuwierzytelnionemu atakującemu zdalne spowodowanie uszkodzenia pamięci i odmowy usługi (DoS) poprzez wysłanie spreparowanego żądania z nadmierną ilością danych.

CVE-2026-57875
WysokieEPSS 66%

W oprogramowaniu urządzeń GeoVision GV-LPC2011 i GV-LPC2211 w wersji V1.12 i wcześniejszych wykryto podatność na zdalną odmowę usługi (DoS). Luka wynika z braku walidacji wymaganych metadanych żądania HTTP przed ich użyciem, co prowadzi do dereferencji wskaźnika NULL i awarii procesu.

CVE-2026-57874
Wysokie

W urządzeniach GeoVision GV-LPC2011 i GV-LPC2211 w wersji V1.12 i wcześniejszych wykryto podatność na przepełnienie bufora w skrypcie IEEE8021x_upload.cgi. Problem wynika z braku odpowiedniego sprawdzania granic podczas przetwarzania wartości nazw plików w danych przesyłanych metodą multipart. Zdalny, nieuwierzytelniony atakujący może wykorzystać tę podatność, wysyłając spreparowane żądanie uploadu z nadmiernie długimi danymi, co prowadzi do uszkodzenia pamięci i odmowy usługi (DoS).

CVE-2026-57873
Wysokie

W urządzeniach GeoVision GV-LPC2011 i GV-LPC2211 w wersji V1.12 i wcześniejszych, w skrypcie IEEE8021x_upload.cgi występuje podatność na wyłuskanie wskaźnika NULL (NULL pointer dereference) bez uwierzytelnienia. Problem wynika z nieprawidłowej walidacji nagłówków przesyłania wieloczęściowego (multipart) podczas przetwarzania pól związanych z certyfikatami. Zdalny atakujący może wysłać spreparowane żądanie wieloczęściowe, powodując awarię procesu CGI i w efekcie odmowę usługi (DoS).

CVE-2026-57872
WysokieEPSS 57%

W urządzeniach GeoVision GV-LPC2011 i GV-LPC2211 w wersji V1.12 i wcześniejszych wykryto podatność na nieuwierzytelniony atak typu directory traversal w komponencie get_fcont.cgi. Luka wynika z niewystarczającej walidacji ścieżki pliku podanej przez użytkownika przed uzyskaniem dostępu do żądanego pliku przez CGI. Zdalny atakujący może wysłać spreparowane żądanie w celu odczytu dowolnych plików dostępnych dla procesu, co prowadzi do ujawnienia informacji.

CVE-2026-49486
Wysokie

Podatność w Apache Airflow FTP provider powoduje, że połączenie FTPS nie szyfruje kanału danych. Mimo że kanał kontrolny jest chroniony TLS, dane przesyłane są w postaci jawnej, co umożliwia atakującemu w sieci przechwycenie treści plików i poświadczeń.

PoprzedniaStrona 170 z 4563Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS