Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.13)

CVE-2026-10916
Średnie

Niewystarczająca walidacja nieufnych danych wejściowych w DevTools w Google Chrome przed wersją 149.0.7827.53 umożliwiła zdalnemu atakującemu, który przejął proces renderowania, wstrzyknięcie dowolnych skryptów lub HTML (UXSS) za pomocą spreparowanej strony HTML.

CVE-2026-10912
Średnie

Niewystarczająca walidacja niezaufanego wejścia w rozszerzeniach Google Chrome przed wersją 149.0.7827.53 umożliwiła zdalnemu atakującemu, który przejął proces renderowania, obejście polityki tego samego pochodzenia za pomocą spreparowanej strony HTML.

CVE-2026-10875
Średnie

W projekcie Online Art Gallery Shop Project 1.0 odkryto lukę bezpieczeństwa, która dotyczy nieznanej funkcji w pliku /admin/adminHome.ph. Manipulacja argumentem social_twitter prowadzi do wstrzykiwania SQL.

CVE-2026-10874
Średnie

Zidentyfikowano podatność w projekcie projectworlds Online Art Gallery Shop Project w wersji 1.0. Problem dotyczy nieznanej funkcji w pliku /admin/adminHome.php, gdzie manipulacja argumentem social_insta prowadzi do wstrzyknięcia SQL.

CVE-2024-27891
Średnie

Na podatnych platformach działających na Arista EOS z skonfigurowanym MACsec i ACL na tych samych interfejsach, polityki ACL mogą nie być egzekwowane dla pakietów wychodzących na tych portach. Może to spowodować, że wychodzące pakiety będą błędnie dozwolone lub zablokowane.

CVE-2023-5502
Średnie

Na podatnych platformach działających na Arista EOS z skonfigurowaną autoryzacją 802.1x na portach dostępowych/ trunkowych oraz włączonym routowaniem na VLAN dostępowym, złośliwy klient może być w stanie obejść wymóg przeprowadzenia autoryzacji 802.1x.

CVE-2026-42547
Średnie

IRIS to platforma współpracy internetowej, która umożliwia responderom incydentów dzielenie się szczegółami technicznymi podczas dochodzeń. W wersjach przed 2.4.28 użytkownicy mogą tworzyć alerty dla klientów, którzy nie są im przypisani, co może prowadzić do fałszywego przypisywania alertów do klientów.

CVE-2026-42543
Średnie

IRIS to platforma internetowa wspierająca współpracę w zakresie reagowania na incydenty. Wersje przed 2.4.28 są podatne na atak typu cross-site request forgery, ponieważ używają metody HTTP `GET` do zmiany stanu na serwerze.

CVE-2026-42540
Średnie

IRIS to internetowa platforma współpracy, która wspiera zespoły reagujące na incydenty w dzieleniu się szczegółami technicznymi podczas dochodzeń. Wersje przed 2.4.28 pozwalają użytkownikowi na modyfikację wartości w bazie danych za pomocą zmanipulowanych żądań API. Wersja 2.4.28 zawiera poprawkę.

CVE-2026-42539
Średnie

IRIS to platforma współpracy internetowej, która wspiera zespoły reagujące na incydenty w dzieleniu się szczegółami technicznymi podczas dochodzeń. Wersje przed 2.4.28 zwracają wrażliwe dane do użytkownika, które nie są wymagane do działania klienta.

CVE-2026-11322
Średnie

Hermes WebUI przed wersją v0.51.221 zawiera podatność na traversję ścieżki, która pozwala atakującym na opuszczenie granic przestrzeni roboczej poprzez dostarczenie symlinków prowadzących do plików lub katalogów poza wyznaczonym katalogiem głównym przestrzeni roboczej. Atakujący mogą wykorzystać API do plików i listowania przestrzeni roboczej, które nie egzekwują, aby ostateczna ścieżka pozostawała w obrębie przestrzeni roboczej.

CVE-2024-6858
Średnie

W systemie EOS firmy Arista, w trybie 802.1X, nieautoryzowane hosty mogą uzyskać dostęp do portu przełącznika, jeśli w VLAN fallback znajduje się urządzenie obsługujące EAPOL.

CVE-2026-5066
Średnie

W podsystemie gniazd sieciowych Zephyr RTOS (subsys/net/lib/sockets/sockets_tls.c) wykryto podatność na zapis/odczyt poza dozwolonym obszarem pamięci. Gdy pamięć podręczna sesji TLS jest włączona, funkcje tls_session_store() i tls_session_restore() kopiują adres dostarczony przez wywołującego do bufora o stałym rozmiarze, używając wartości addrlen kontrolowanej przez wywołującego, bez walidacji względem rozmiaru docelowego. Może to prowadzić do awarii, odmowy usługi, a potencjalnie do wykonania dowolnego kodu.

CVE-2026-42538
Średnie

IRIS to platforma internetowa wspierająca współpracę w zakresie reagowania na incydenty. Wersje przed 2.4.28 nieprawidłowo walidują przesyłane pliki, co może prowadzić do wykorzystania aplikacji do hostowania stron phishingowych oraz wprowadza dodatkową podatność typu Cross-Site Scripting (XSS). Wersja 2.4.28 zawiera poprawkę.

CVE-2026-42329
Średnie

Iris to platforma współpracy internetowej, która wspiera zespoły reagujące na incydenty w dzieleniu się szczegółami technicznymi podczas dochodzeń. Wersje przed 2.4.28 zawierają lukę, która pozwala atakującemu na przekierowanie użytkownika na złośliwą stronę internetową.

CVE-2026-5589
Średnie

W funkcji bt_mesh_sol_recv() w stosie Bluetooth Mesh Zephyr występuje podatność na niedomiar liczby całkowitej, prowadząca do zapisu poza dozwolonym obszarem pamięci. Atakujący z pobliskiego urządzenia BLE może wysłać spreparowany pakiet reklamowy, który wykorzystując tę lukę, może spowodować awarię systemu lub potencjalnie wykonać dowolny kod.

CVE-2026-21404
Średnie

NAVTOR NavBox w wersjach do 4.16.1.20 zawiera twardo zakodowane dane uwierzytelniające w swojej implementacji Windows Communication Foundation (SOAP). W przypadku włączonej funkcjonalności SOAP, lokalny atakujący może wydobyć te dane, omijając zamierzony proces transferu.

CVE-2026-48480
Średnie

Kodowanie netty incubator codec.bhttp to parser binarny HTTP w języku Java. W wersji przed 0.0.22.Final implementacja codec-ohttp nie weryfikuje, czy otrzymano kryptograficznie podpisany ostatni fragment przed zakończeniem zewnętrznego ciała HTTP.

CVE-2026-40898
Średnie

quic-go to implementacja protokołu QUIC w języku Go. Przed wersją 0.59.1, atakujący mógł spowodować nadmierne przydzielanie pamięci w implementacjach klienta i serwera HTTP/3, wysyłając zakodowaną w QPACK ramkę HEADERS, która dekoduje się do dużej sekcji trailer field z wieloma unikalnymi nazwami pól i/lub dużymi wartościami.

CVE-2026-36499
Średnie

Brak górnego limitu w funkcji udpif_set_threads() w Open vSwitch v3.6.90 umożliwia atakującemu z dostępem do zapisu OVSDB żądanie nadmiernej liczby wątków obsługi lub rewalidacji. Może to prowadzić do odmowy usługi (DoS) z powodu wyczerpania zasobów.

PoprzedniaStrona 175 z 556Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS