Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-38637
Wysokie

Podatność w funkcji pthread_rwlockattr_setpshared() w bibliotece relibc (commit 61f42d) umożliwia atakującemu spowodowanie odmowy usługi (DoS) poprzez spreparowane dane wejściowe.

CVE-2026-37452
Wysokie

Podatność niebezpiecznych uprawnień w usłudze MSI NBFoundation Service w wersji 2.0.2506.1201 umożliwia zdalnemu atakującemu uzyskanie wrażliwych informacji poprzez komponent MSIAPService.exe.

CVE-2026-12473
Wysokie

Podatność w OHIF Viewer dotyczy dwóch domyślnie skonfigurowanych źródeł danych (DICOMWebProxy i DICOMJSON), które pobierają dowolny parametr URL bez walidacji. Globalna usługa uwierzytelniania automatycznie dołącza token OIDC Bearer uwierzytelnionego użytkownika do żądań, wysyłając go na serwer kontrolowany przez atakującego. Źródła danych DICOMweb nie są podatne.

CVE-2026-7531
Krytyczne

Podatność Use-after-free w obsłudze hybrydowych kluczy PQC. Jest to niekompletne załamanie problemu CVE-2026-5460 (załatanego w wersji 5.9.1): złośliwy serwer TLS 1.3 wysyłający obcięty hybrydowy KeyShare PQC może nadal uruchomić ścieżkę czyszczenia błędów na zwolnionej pamięci.

CVE-2026-57522
Niskie

Podatność w Bitwarden Server przed wersją 2026.5.0 umożliwia wstrzykiwanie JSON przez funkcję IntegrationTemplateProcessor.ReplaceTokens(), która podstawia wartości kontrolowane przez użytkownika do szablonów integracji zdarzeń bez kodowania JSON. Uwierzytelniony członek organizacji może ustawić swoją nazwę wyświetlaną na metaznaki JSON i wstrzyknąć dowolne pary klucz-wartość do przetwarzanych danych wysyłanych do webhooków, SIEM, Slack, Teams lub Datadog.

CVE-2026-57521
Średnie

Podatność w Bitwarden Server przed wersją 2026.5.0 umożliwia każdemu uwierzytelnionemu użytkownikowi dostęp do danych rozliczeniowych dowolnej organizacji. Brak kontroli dostępu w endpointach PreviewInvoiceController pozwala na podanie dowolnego identyfikatora organizacji i odczytanie poufnych informacji, takich jak podatki, status subskrypcji i szczegóły płatności.

CVE-2026-57520
Wysokie

Podatność w Bitwarden Server przed wersją 2026.5.0 umożliwia uwierzytelnionym użytkownikom niestandardowym z uprawnieniem ManageUsers usunięcie kont administratorów z organizacji. Dzieje się tak przez brak sprawdzenia hierarchii ról w punkcie końcowym masowego usuwania użytkowników.

CVE-2026-55964
Średnie

Podatność w bibliotece WolfSSL dotyczy akceptowania certyfikatów pośrednich z atrybutem CA:TRUE, ale bez kluczowego użycia keyCertSign, jako urzędów certyfikacji podpisujących. Wcześniej tymczasowe urzędy certyfikacji dodawane podczas budowania ścieżki certyfikacji (WOLFSSL_TEMP_CA) były zwolnione z tego sprawdzenia, co pozwalało na akceptację nieprawidłowych certyfikatów. Obecnie sprawdzenie to dotyczy również tymczasowych urzędów, z wyjątkiem certyfikatów głównych załadowanych przez operatora (WOLFSSL_USER_CA) i samopodpisanych.

CVE-2026-55960
Wysokie

Podatność umożliwia akceptację nieuzgodnionego surowego klucza publicznego (Raw Public Key, RFC 7250) zamiast certyfikatu X.509, co prowadzi do pominięcia walidacji łańcucha zaufania. Sytuacja dotyczy tylko kompilacji z włączoną obsługą RPK (HAVE_RPK), która domyślnie jest wyłączona, ale włączana przez flagę --enable-all.

CVE-2026-55958
Wysokie

Podatność w bibliotece Renesas TSIP TLS 1.3 powoduje zapis poza dozwolonym obszarem bufora transkryptu uzgadniania. Funkcja tsip_StoreMessage() nie przerywa wykonania po przekroczeniu limitu 8 KB, co prowadzi do uszkodzenia sterty i potencjalnego zdalnego ataku typu odmowa usługi (DoS).

CVE-2026-46602
Wysokie

Dekoder TIFF nie ogranicza rozmiaru kafelków w obrazach kafelkowych, co pozwala złośliwemu lub uszkodzonemu obrazowi z bardzo dużym kafelkiem na spowodowanie nieograniczonego zużycia pamięci.

CVE-2026-46601
Wysokie

Dekoder WebP może ulec awarii podczas przetwarzania fragmentu VP8, którego wymiary nie zgadzają się z rozmiarem płótna.

CVE-2026-37454
Wysokie

Podatność niebezpiecznych uprawnień w usłudze MSI NBFoundation Service w wersji 2.0.2506.1201 umożliwia zdalnemu atakującemu uzyskanie wrażliwych informacji poprzez wykorzystanie szyfrowania 3DES-ECB.

CVE-2026-37453
Wysokie

Podatność niebezpiecznych uprawnień w usłudze MSI NBFoundation Service w wersji 2.0.2506.1201 umożliwia zdalnemu atakującemu uzyskanie wrażliwych informacji poprzez potok MSI_SERVICE_2.

CVE-2026-37149
Wysokie

W systemie GROCERY-STORE-MANAGEMENT-SYSTEM-USING-PHP-AND-MYSQL-PHPMYADMIN v1.0 wykryto podatność na iniekcję SQL w parametrze scost w pliku /grocery/search_products.php. Umożliwia ona atakującym dostęp do wrażliwych danych w bazie poprzez spreparowane zapytanie SQL.

CVE-2026-2299
Średnie

Wtyczka Google Drive dla Mattermost przed wersją 1.1.0 nie sprawdza członkostwa w kanale w punkcie końcowym tworzenia plików, co pozwala uwierzytelnionym użytkownikom z połączonym kontem Google na udostępnianie plików Google Drive do nieautoryzowanych prywatnych kanałów i ujawnianie członkostwa w prywatnych kanałach.

CVE-2026-12340
Wysokie

Podatność w bibliotece kryptograficznej podczas weryfikacji podpisu certyfikatu SM2/SM3. Przy parsowaniu certyfikatu z podpisem SM3wSM2, obliczanie identyfikatora klucza podmiotu odczytuje 65 bajtów klucza publicznego bez sprawdzenia, czy klucz jest wystarczająco długi. Klucz krótszy niż 65 bajtów powoduje odczyt poza stertą, co może prowadzić do awarii (odmowa usługi).

CVE-2026-11310
Wysokie

Podatność w bibliotece wolfSSL umożliwia obejście łańcucha zaufania X.509 w funkcji X509_verify_cert() podczas weryfikacji certyfikatów z niezaufanymi certyfikatami pośrednimi. Atakujący może przedstawić łańcuch certyfikatów, który nie sięga zaufanego punktu kotwiczenia, a mimo to zostanie zaakceptowany.

CVE-2026-10592
Średnie

Certyfikaty z wieloznacznymi DNS SAN (np. *.example.com) omijały sprawdzanie ograniczeń nazw CA. Certyfikat z wieloznacznym DNS SAN, który powinien zostać odrzucony przez dozwolone/wykluczone ograniczenia nazw DNS wystawiającego CA, mógł zostać zaakceptowany.

CVE-2026-10512
Wysokie

Implementacja X25519 w asemblerze x86_64 nie czyści najstarszego bitu podczas końcowej redukcji modularnej, przez co wynik może nie być w pełni zredukowany modulo liczba pierwsza 2^255 - 19. Powoduje to pozostawienie elementu ciała w formie niekanonicznej, co prowadzi do błędnego wyniku mnożenia skalarnego i potencjalnie nieprawidłowego wspólnego sekretu.

PoprzedniaStrona 175 z 4563Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS