Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-6334
Niskie

Wersje Mattermost 11.5.x do 11.5.1 oraz 10.11.x do 10.11.13 nie egzekwują powiązania tożsamości klienta podczas procesu wymiany kodu autoryzacyjnego OAuth. To pozwala uwierzytelnionemu klientowi OAuth na wymianę kodów autoryzacyjnych wydanych dla innego klienta za pomocą spreparowanego żądania wymiany tokenów.

CVE-2026-27680
Niskie

Podatność w SAP NetWeaver Application Server ABAP pozwala atakującemu na wstrzyknięcie niestandardowych arkuszy stylów CSS do strony internetowej serwowanej przez aplikację. W momencie, gdy użytkownik uzyskuje dostęp do dotkniętej strony lub na nią klika, wstrzyknięty CSS jest wykonywany.

CVE-2026-30904
Niskie

W Zoom Workplace dla iOS przed wersją 7.0.0 występuje błąd w mechanizmie ochrony, który może pozwolić uwierzytelnionemu użytkownikowi na ujawnienie informacji poprzez fizyczny dostęp do urządzenia.

CVE-2026-32684
Niskie

Aplikacja nie wprowadza wystarczających ograniczeń dotyczących uprawnień dostępu do katalogów, co stwarza ryzyko, że inne złośliwe aplikacje mogą uzyskać dostęp do wrażliwych informacji.

CVE-2026-45186
Niskie

W bibliotece libexpat przed wersją 2.8.1 wykryto podatność polegającą na nadmiernej złożoności obliczeniowej podczas sprawdzania kolizji nazw atrybutów. Umożliwia to przeprowadzenie ataku typu odmowa usługi (DoS) poprzez przesłanie odpowiednio spreparowanego pliku XML o umiarkowanym rozmiarze.

CVE-2026-44916
Niskie

W OpenStack Ironic przed wersją 35.0.2, w pewnej konfiguracji, instancja 'instance_info['ks_template']' jest renderowana bez odpowiedniego piaskownicy.

CVE-2026-43964
Niskie

Podatność w Postfixie przed wersjami 3.8.16, 3.9.10 i 3.10.9 umożliwia odczyt poza zakresem bufora i awarię procesu przez wysłanie rozszerzonego kodu statusu bez tekstu po trzeciej liczbie.

CVE-2026-3832
Niskie

W gnutls znaleziono lukę, która może być wykorzystana przez zdalnego atakującego poprzez przedstawienie specjalnie przygotowanej odpowiedzi OCSP podczas handshake TLS. Błąd logiczny w przetwarzaniu wielorekordowych odpowiedzi OCSP może spowodować, że klient z włączoną weryfikacją OCSP błędnie zaakceptuje unieważniony certyfikat serwera.

CVE-2026-41080
Niskie

libexpat w wersjach przed 2.8.0 wykorzystuje niewystarczającą entropię, co może prowadzić do ataków typu hash flooding za pomocą spreparowanego dokumentu XML.

CVE-2026-21727
Niskie

W Grafanie odkryto podatność na brak izolacji między tenantami w funkcji korelacji, która dotyczyła starych rekordów korelacji. Użytkownik z uprawnieniami do zarządzania źródłami danych mógł odczytać i trwale usunąć dane korelacji należące do innej organizacji.

CVE-2025-40745
Niskie

Podatność w produktach Siemens pozwala nieuwierzytelnionemu zdalnemu atakującemu na przeprowadzenie ataku typu man-in-the-middle z powodu nieprawidłowej walidacji certyfikatów klienta podczas łączenia z punktem końcowym Analytics Service.

CVE-2026-33551
Niskie

W OpenStack Keystone w wersjach od 14 do 26 przed 26.1.1, 27.0.0, 28.0.0 i 29.0.0 odkryto problem, który pozwala na tworzenie poświadczeń EC2 przez ograniczone poświadczenia aplikacji. Użytkownik z rolą tylko do odczytu może uzyskać pełne uprawnienia S3 rodzica, omijając ograniczenia ról nałożone na poświadczenia aplikacji.

CVE-2026-28264
Niskie

Usługa Dell PowerProtect Agent w wersjach przed 20.1 zawiera podatność na niewłaściwe przypisanie uprawnień do krytycznych zasobów. Atakujący z niskimi uprawnieniami i lokalnym dostępem może potencjalnie wykorzystać tę podatność, co prowadzi do ujawnienia informacji.

CVE-2026-37977
Niskie

W Keycloak wykryto podatność polegającą na wstrzykiwaniu nagłówka CORS w punkcie końcowym tokena UMA. Atakujący zdalny może wykorzystać tę lukę, wysyłając specjalnie spreparowany token JWT z kontrolowaną wartością `azp`, która jest odzwierciedlana w nagłówku `Access-Control-Allow-Origin` przed walidacją podpisu JWT. Problem występuje tylko wtedy, gdy klient docelowy jest błędnie skonfigurowany z `webOrigins: ["*"]`.

CVE-2026-3109
Niskie

Wtyczki Mattermost w wersjach <=11.4 oraz 10.11.11.0 nie weryfikują znaczników czasowych żądań webhook, co pozwala atakującemu na zakłócenie stanu spotkania Zoom w Mattermost poprzez powtórzone żądania webhook.

CVE-2026-4874
Niskie

W Keycloak wykryto podatność SSRF. Uwierzytelniony atakujący może manipulować parametrem `client_session_host` podczas odświeżania tokenów, co pozwala na wysyłanie żądań HTTP z kontekstu sieciowego serwera Keycloak. Problem występuje, gdy klient Keycloak jest skonfigurowany z `backchannel.logout.url` zawierającym placeholder `application.session.host`.

CVE-2026-4519
Niskie

Podatność w API webbrowser.open() w Pythonie pozwalała na akceptowanie URL-i z wiodącymi myślnikami, które mogły być interpretowane jako opcje linii poleceń przez niektóre przeglądarki internetowe. Nowe zachowanie odrzuca takie URL-e.

CVE-2025-13462
Niskie

Moduł tarfile w Pythonie błędnie normalizował bloki AREGTYPE (\x00) do DIRTYPE podczas przetwarzania wieloblokowych członków archiwum, takich jak GNUTYPE_LONGNAME lub GNUTYPE_LONGLINK. Może to prowadzić do błędnej interpretacji spreparowanego archiwum tar w porównaniu z innymi implementacjami.

CVE-2025-70330
Niskie

Podatność w Easy Grade Pro 4.1.0.2 wynika z błędu w logice parsowania plików .EGP. Modyfikacja określonych pól w pliku może spowodować odczyt poza dozwolonym obszarem pamięci, co prowadzi do awarii aplikacji.

CVE-2026-24310
Niskie

W wyniku braku sprawdzenia autoryzacji w serwerze aplikacyjnym SAP NetWeaver dla ABAP, uwierzytelniony atakujący mógłby wykonać określony moduł funkcji ABAP i odczytać wrażliwe informacje z katalogu bazy danych systemu ABAP. Podatność ta ma niski wpływ na poufność aplikacji, nie wpływając na integralność i dostępność.

PoprzedniaStrona 19 z 61Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS