Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.14)

CVE-2026-41178
Średnie

OpenTelemetry-Go w wersjach 1.41.0 i 1.43.0 usunął odrzucanie długości surowej, co powoduje, że funkcja `Parse` przetwarza dowolnie duże lub nieprawidłowe nagłówki bagażu i rejestruje błędy, co umożliwia atak DoS za pomocą zbyt dużych danych wejściowych.

CVE-2026-40930
Średnie

LIBPNG to biblioteka referencyjna używana w aplikacjach przetwarzających pliki graficzne PNG. W wersji 1.8.0 występuje problem w parserze APNG, który pozwala na reinterpretację bajtów kontrolowanych przez atakującego jako nagłówek nowego fragmentu, co może prowadzić do nieautoryzowanego dostępu do danych.

CVE-2026-10815
Średnie

W systemie zarządzania hostelami LakshayD02 do wersji f87e67c283bab6f718faf2fec6ae39a13bd7036b zidentyfikowano podatność w pliku hostel/index.php na stronie panelu administracyjnego. Manipulacja argumentem ID prowadzi do braku autoryzacji, co umożliwia zdalne przeprowadzenie ataku.

CVE-2026-10814
Średnie

Wykryto podatność w milvus-io milvus do wersji 2.6.13, która dotyczy nieznanego kodu w pliku internal/metastore/kv/rootcoord/kv_catalog.go komponentu Grantee ID Hash Handler. Manipulacja prowadzi do użycia słabego hasha.

CVE-2026-47707
Średnie

Biblioteka Strawberry GraphQL, używana do tworzenia API GraphQL, ma problem w wersjach od 0.172.0 do 0.315.6. Rozszerzenie MaxAliasesLimiter nie uwzględnia efektu mnożnikowego w przypadku FragmentSpreadNode, co pozwala atakującemu na obejście limitów aliasów.

CVE-2026-47706
Średnie

Biblioteka Strawberry GraphQL, używana do tworzenia API GraphQL, ma podatność w wersjach od 0.71.0 do 0.315.6 w rozszerzeniu QueryDepthLimiter. Brak detekcji cykli w fragmentach powoduje, że zapytania z cyklicznymi odniesieniami fragmentów prowadzą do nieskończonej rekurencji, co skutkuje błędem RecursionError i awarią procesu walidacji.

CVE-2026-36180
Średnie

W oprogramowaniu GNCC GP5 w wersji 7.1.76 brakuje integralności środowiska wykonawczego, co umożliwia atakującemu z fizycznym dostępem ominięcie ochrony systemu plików przed zapisem. Poprzez atak bind-mount, atakujący może modyfikować pliki systemowe i binarne na czas trwania sesji rozruchowej.

CVE-2026-36178
Średnie

Funkcja przywracania ustawień fabrycznych w GNCC GP5 v7.1.76 nie usuwa poufnych materiałów kryptograficznych z partycji konfiguracyjnej JFFS2, co może umożliwić atakującym odzyskanie i uzyskanie wrażliwych danych użytkownika.

CVE-2026-36175
Średnie

Podatność w komponencie U-Boot urządzenia GNCC GP5 v7.1.76 umożliwia fizycznie bliskiemu atakującemu ominięcie uwierzytelniania i uzyskanie dostępu root przez przerwanie sekwencji rozruchu i wstrzyknięcie spreparowanego ciągu do argumentów jądra.

CVE-2026-36174
Średnie

W oprogramowaniu GNCC GP5 w wersji 7.1.76 odkryto, że podczas rutynowych operacji zapisuje wrażliwe informacje o sieci bezprzewodowej w postaci jawnego tekstu na konsoli szeregowej. Umożliwia to fizycznie bliskim atakującym przechwycenie danych uwierzytelniających do sieci poprzez monitorowanie interfejsu UART.

CVE-2026-10864
Średnie

Podatność w widgetach dashboardu MISP pozwalała uwierzytelnionemu użytkownikowi na manipulację opcjami pól, co mogło prowadzić do ujawnienia adresów e-mail użytkowników oraz innych danych organizacji, nawet gdy ich ujawnienie było zablokowane w konfiguracji.

CVE-2026-10860
Średnie

Błąd logiczny w komponencie CRUD MISP w obsłudze usuwania pozwala na ominięcie błędów walidacji przy użyciu metody HTTP DELETE. Z powodu braku nawiasów w warunku usuwania, żądanie DELETE mogło zostać zrealizowane, nawet gdy walidacja odrzuciła operację.

CVE-2026-10811
Średnie

W systemie zarządzania opłatami itsourcecode w wersji 1.0 wykryto podatność bezpieczeństwa. Manipulacja argumentem ef_id w pliku /receipt.php prowadzi do wstrzyknięcia SQL, co może być wykorzystane przez zdalnego atakującego.

CVE-2026-43926
Średnie

FOSSBilling to darmowy, otwartoźródłowy system zarządzania fakturami i klientami. W wersjach przed 0.8.0, punkt końcowy potwierdzenia resetu hasła `/client/reset-password-confirm/:hash` nie jest objęty ograniczeniem liczby żądań, co pozwala atakującemu na nieograniczone próby zgadywania tokenów resetujących hasło.

CVE-2026-40605
Średnie

Tautulli to narzędzie do monitorowania i śledzenia dla Plex Media Server, oparte na Pythonie. W wersjach przed 2.17.1 występuje podatność typu path traversal w punkcie końcowym usuwania pamięci podręcznej, która pozwala na usunięcie katalogów poza skonfigurowaną ścieżką pamięci podręcznej przez uwierzytelnionych użytkowników API.

CVE-2026-10861
Średnie

W MISP występowała podatność na otwarte przekierowanie w metodzie UsersController::routeafterlogin(), gdzie wartość klucza sesji pre_login_requested_url była używana jako cel przekierowania po logowaniu, bez odpowiedniego sprawdzenia, czy jest to lokalna ścieżka aplikacji.

CVE-2026-10856
Średnie

W panelu MISP wystąpiła luka w walidacji URL, która pozwalała na zaakceptowanie zmanipulowanego URL-a jako lokalnej ścieżki, podczas gdy przeglądarki interpretowały go jako zewnętrzny URL. Luka ta umożliwiała atakującym tworzenie przycisków, które wydawały się prowadzić do aplikacji, ale przekierowywały użytkowników na kontrolowane przez nich strony.

CVE-2026-10855
Średnie

W aplikacji MISP Event Template Importer wystąpiła luka autoryzacyjna w procesie nadpisywania szablonów wydarzeń. Użytkownik mógł nadpisać szablon należący do innej organizacji, nie będąc jej członkiem.

CVE-2026-10854
Średnie

Problem z kontrolą widoczności w procesie tworzenia szablonów wydarzeń pozwalał użytkownikom, którzy nie są administratorami strony, na dostęp do prywatnych galaktyk należących do innych organizacji. Twórca szablonów wydarzeń ładował wszystkie włączone galaktyki bez stosowania ograniczeń dostępu opartych na organizacji lub dystrybucji.

CVE-2026-10810
Średnie

Zidentyfikowano słabość w systemie zarządzania opłatami itsourcecode do wersji 1.0. Manipulacja argumentem 'page' w pliku /navbar.php prowadzi do podatności na ataki typu cross site scripting (XSS).

PoprzedniaStrona 187 z 557Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS