Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.13)

CVE-2025-65640
Średnie

W aplikacji Arket Globe Document Intelligence 5.0.0.559 występuje podatność typu Cross Site Scripting (XSS) na stronie 'Zadanie w toku / Ostatnie'. Problem wynika z niewłaściwego oczyszczania danych wejściowych w polach tekstowych podczas tworzenia nowego dokumentu, co pozwala na wykonanie złośliwego kodu JavaScript.

CVE-2026-41207
Średnie

Kodowanie bhttp w inkubatorze netty to parser binarny HTTP w języku Java. W wersjach przed 0.0.21.Final funkcja HKDF_expand zwracała wartość różną od NULL w przypadku błędu, co skutkowało wypełnieniem tablicy bajtów zerami, uniemożliwiając odróżnienie sukcesu od porażki.

CVE-2026-49940
Średnie

Wersje Net::CIDR::Set do 0.20 dla Perla akceptują nie-ASCII adresy IP oraz maski sieciowe. Cyfry Unicode, takie jak arabsko-indyjska jedynka (U+0661), były akceptowane, ale nieprawidłowo analizowane jako liczby, co może pozwolić na akceptację większych sieci przez maski sieciowe.

CVE-2026-46739
Średnie

Wersje Net::Statsd przed 0.13 dla Perla umożliwiają wstrzykiwanie metryk. Nazwy metryk nie są sprawdzane pod kątem nowych linii, dwukropków ani pionowych kresek, co pozwala na wstrzykiwanie dodatkowych metryk z niezaufanych źródeł.

CVE-2026-7774
Średnie

Podatność w module tarfile umożliwia ominięcie filtra danych przez spreparowane wpisy dowiązań, w tym dowiązania symboliczne z pustymi lub katalogopodobnymi nazwami, co pozwala na przekierowanie późniejszych członków archiwum poza zamierzony katalog docelowy. Złośliwe archiwum tar może spowodować, że funkcja tarfile.extractall() zapisze pliki poza katalogiem docelowym, z uprawnieniami procesu wypakowującego.

CVE-2026-45287
Średnie

OpenTelemetry-Go przed wersją 0.0.17 ma problem z wyciekiem deskryptora pliku przy każdym wywołaniu `ParseFile`, co może prowadzić do wyczerpania limitu deskryptorów plików w długoterminowym procesie.

CVE-2026-41178
Średnie

OpenTelemetry-Go w wersjach 1.41.0 i 1.43.0 usunął odrzucanie długości surowej, co powoduje, że funkcja `Parse` przetwarza dowolnie duże lub nieprawidłowe nagłówki bagażu i rejestruje błędy, co umożliwia atak DoS za pomocą zbyt dużych danych wejściowych.

CVE-2026-40930
Średnie

LIBPNG to biblioteka referencyjna używana w aplikacjach przetwarzających pliki graficzne PNG. W wersji 1.8.0 występuje problem w parserze APNG, który pozwala na reinterpretację bajtów kontrolowanych przez atakującego jako nagłówek nowego fragmentu, co może prowadzić do nieautoryzowanego dostępu do danych.

CVE-2026-10815
Średnie

W systemie zarządzania hostelami LakshayD02 do wersji f87e67c283bab6f718faf2fec6ae39a13bd7036b zidentyfikowano podatność w pliku hostel/index.php na stronie panelu administracyjnego. Manipulacja argumentem ID prowadzi do braku autoryzacji, co umożliwia zdalne przeprowadzenie ataku.

CVE-2026-10814
Średnie

Wykryto podatność w milvus-io milvus do wersji 2.6.13, która dotyczy nieznanego kodu w pliku internal/metastore/kv/rootcoord/kv_catalog.go komponentu Grantee ID Hash Handler. Manipulacja prowadzi do użycia słabego hasha.

CVE-2026-47707
Średnie

Biblioteka Strawberry GraphQL, używana do tworzenia API GraphQL, ma problem w wersjach od 0.172.0 do 0.315.6. Rozszerzenie MaxAliasesLimiter nie uwzględnia efektu mnożnikowego w przypadku FragmentSpreadNode, co pozwala atakującemu na obejście limitów aliasów.

CVE-2026-47706
Średnie

Biblioteka Strawberry GraphQL, używana do tworzenia API GraphQL, ma podatność w wersjach od 0.71.0 do 0.315.6 w rozszerzeniu QueryDepthLimiter. Brak detekcji cykli w fragmentach powoduje, że zapytania z cyklicznymi odniesieniami fragmentów prowadzą do nieskończonej rekurencji, co skutkuje błędem RecursionError i awarią procesu walidacji.

CVE-2026-36180
Średnie

W oprogramowaniu GNCC GP5 w wersji 7.1.76 brakuje integralności środowiska wykonawczego, co umożliwia atakującemu z fizycznym dostępem ominięcie ochrony systemu plików przed zapisem. Poprzez atak bind-mount, atakujący może modyfikować pliki systemowe i binarne na czas trwania sesji rozruchowej.

CVE-2026-36178
Średnie

Funkcja przywracania ustawień fabrycznych w GNCC GP5 v7.1.76 nie usuwa poufnych materiałów kryptograficznych z partycji konfiguracyjnej JFFS2, co może umożliwić atakującym odzyskanie i uzyskanie wrażliwych danych użytkownika.

CVE-2026-36175
Średnie

Podatność w komponencie U-Boot urządzenia GNCC GP5 v7.1.76 umożliwia fizycznie bliskiemu atakującemu ominięcie uwierzytelniania i uzyskanie dostępu root przez przerwanie sekwencji rozruchu i wstrzyknięcie spreparowanego ciągu do argumentów jądra.

CVE-2026-36174
Średnie

W oprogramowaniu GNCC GP5 w wersji 7.1.76 odkryto, że podczas rutynowych operacji zapisuje wrażliwe informacje o sieci bezprzewodowej w postaci jawnego tekstu na konsoli szeregowej. Umożliwia to fizycznie bliskim atakującym przechwycenie danych uwierzytelniających do sieci poprzez monitorowanie interfejsu UART.

CVE-2026-10864
Średnie

Podatność w widgetach dashboardu MISP pozwalała uwierzytelnionemu użytkownikowi na manipulację opcjami pól, co mogło prowadzić do ujawnienia adresów e-mail użytkowników oraz innych danych organizacji, nawet gdy ich ujawnienie było zablokowane w konfiguracji.

CVE-2026-10860
Średnie

Błąd logiczny w komponencie CRUD MISP w obsłudze usuwania pozwala na ominięcie błędów walidacji przy użyciu metody HTTP DELETE. Z powodu braku nawiasów w warunku usuwania, żądanie DELETE mogło zostać zrealizowane, nawet gdy walidacja odrzuciła operację.

CVE-2026-10811
Średnie

W systemie zarządzania opłatami itsourcecode w wersji 1.0 wykryto podatność bezpieczeństwa. Manipulacja argumentem ef_id w pliku /receipt.php prowadzi do wstrzyknięcia SQL, co może być wykorzystane przez zdalnego atakującego.

CVE-2026-43926
Średnie

FOSSBilling to darmowy, otwartoźródłowy system zarządzania fakturami i klientami. W wersjach przed 0.8.0, punkt końcowy potwierdzenia resetu hasła `/client/reset-password-confirm/:hash` nie jest objęty ograniczeniem liczby żądań, co pozwala atakującemu na nieograniczone próby zgadywania tokenów resetujących hasło.

PoprzedniaStrona 176 z 556Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS