Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.16)

CVE-2026-0132
Wysokie

W Modemie występuje możliwe zapisanie poza granicami z powodu przepełnienia bufora na stercie. Może to prowadzić do zdalnego wykonania kodu bez potrzeby dodatkowych uprawnień wykonawczych.

CVE-2026-0131
Wysokie

W RtpPacket::decodePacket występuje możliwe przekroczenie granic pamięci z powodu przepełnienia całkowitego. Może to prowadzić do lokalnego podniesienia uprawnień bez potrzeby dodatkowych uprawnień wykonawczych.

CVE-2026-0125
Wysokie

W plikach vpu_ioctl.c występuje możliwe wykorzystanie po zwolnieniu pamięci z powodu warunku wyścigu. Może to prowadzić do lokalnej eskalacji uprawnień bez potrzeby dodatkowych uprawnień wykonawczych.

CVE-2026-53866
Wysokie

OpenClaw w wersjach przed 2026.5.12 zawiera lukę umożliwiającą obejście listy dozwolonych poleceń w analizie poleceń inline w powłoce, co pozwala uwierzytelnionym operatorom na wykonywanie niezatwierdzonych poleceń.

CVE-2026-53865
Wysokie

OpenClaw w wersjach przed 2026.5.2 zawiera podatność na przejście ścieżki w trakcie wykonywania zadań konserwacyjnych, co pozwala na wpływanie na wybór polecenia kosza przez ścieżki usług pochodzące z przestrzeni roboczej. Atakujący mogą uruchamiać niezamierzone lokalne pliki wykonywalne z niezamierzonych ścieżek operatora podczas operacji konserwacyjnych.

CVE-2026-53864
Wysokie

OpenClaw przed wersją 2026.5.26 zawiera lukę w niewystarczającej sanitizacji w sanitariuszu środowiska hosta, która pozwala na ominięcie walidacji zmiennych kontrolnych Node.js. Atakujący z dostępem do plików .env, nadpisania środowiska narzędzi lub bloków środowiska umiejętności mogą przekazywać złośliwe zmienne kontrolne Node.js.

CVE-2026-53863
Wysokie

OpenClaw przed wersją 2026.4.25 zawiera podatność na niewłaściwą walidację danych wejściowych w wywołaniach polityki grupy narzędzi, które akceptują niezweryfikowane identyfikatory grup. Atakujący mogą dostarczyć identyfikator grupy do resolvera polityki, co może prowadzić do błędnych decyzji dotyczących polityki grupy dla wywołań narzędzi.

CVE-2026-53858
Wysokie

OpenClaw w wersjach przed 2026.5.2 zawiera podatność na wstrzykiwanie zmiennych środowiskowych, gdzie zmienna STATE_DIRECTORY w pliku .env może wpływać na ścieżki zależności runtime. Atakujący mogą manipulować zmienną STATE_DIRECTORY, aby ładować zależności z niezamierzonych lokalnych ścieżek, co może prowadzić do wykonania złośliwego kodu.

CVE-2026-53857
Wysokie

OpenClaw w wersjach przed 2026.5.3 zawiera podatność w egzekwowaniu polityki, która pozwala na dopasowanie kontaktów Zalo z modyfikowalnymi metadanymi wyświetlania do wpisów polityki allowFrom poprzez zmiany nazw wyświetlania. Atakujący z modyfikowalnymi nazwami wyświetlania mogą otrzymywać odpowiedzi agenta przeznaczone dla różnych tożsamości Zalo, gdy funkcja jest włączona.

CVE-2026-53855
Wysokie

OpenClaw w wersjach przed 2026.4.2 zawiera podatność na obejście mechanizmu inline-eval, co pozwala uwierzytelnionym operatorom osłabić rygorystyczne kontrole listy dozwolonych elementów za pomocą parametrów pozycyjnych powłoki.

CVE-2026-53853
Wysokie

OpenClaw przed wersją 2026.5.12 zawiera lukę, która pozwala na obejście walidacji wzorca argumentów w liście dozwolonych poleceń. Atakujący mogą uruchamiać dozwolone polecenia z nieograniczonymi argumentami, co może prowadzić do nieautoryzowanego dostępu do plików, sieci lub wykonania poleceń.

CVE-2026-53849
Wysokie

OpenClaw w wersjach przed 2026.5.7 zawiera podatność na eskalację uprawnień, w której funkcja allowFrom niewłaściwie weryfikuje tożsamość konta Discord, używając zmiennych nazw wyświetlanych zamiast niezmiennych identyfikatorów użytkowników. Atakujący mogą zmienić swoją nazwę wyświetlaną, aby dopasować ją do wpisu w polityce i uzyskać nieautoryzowany dostęp do agenta przeznaczonego dla innej tożsamości Discord.

CVE-2026-53846
Wysokie

OpenClaw przed wersją 2026.4.29 zawiera podatność na przejście ścieżki w pomocniku instalacyjnym, która pozwala plikom .env w przestrzeni roboczej na nadpisanie konfiguracji npm_execpath używanej do instalacji zależności runtime. Atakujący z dostępem do przestrzeni roboczej mogą uruchomić niezamierzone lokalne pliki wykonywalne menedżera pakietów podczas konfiguracji zależności.

CVE-2026-53843
Wysokie

OpenClaw przed wersją 2026.5.26 zawiera podatność na obejście autoryzacji, która pozwala na przywrócenie autorytetu tokena węzła po jego unieważnieniu. Atakujący z sparowanym urządzeniem mogą odzyskać dostęp na poziomie węzła WebSocket bez ponownej zgody.

CVE-2026-53842
Wysokie

OpenClaw w wersjach przed 2026.5.2 zawiera podatność na wstrzykiwanie zmiennych środowiskowych, która pozwala plikom .env w przestrzeni roboczej wpływać na wybór środowiska Python podczas wykonywania konfiguracji gcloud dla Gmaila. Atakujący z dostępem do repozytoriów mogą manipulować zmienną CLOUDSDK_PYTHON, co może prowadzić do wykonania dowolnego kodu.

CVE-2026-53840
Wysokie

OpenClaw w wersjach przed 2026.5.12 zawiera podatność na ujawnienie informacji w serwerach MCP obsługujących streamable-http, które przekazują niestandardowe nagłówki skonfigurowane przez operatora podczas przekierowań między źródłami. Atakujący mogą wykorzystać tę podatność do wykradania wrażliwych nagłówków, takich jak klucze API czy dane uwierzytelniające do routingu najemców.

CVE-2026-50656
WysokieEPSS 87%

Podatność w silniku ochrony przed złośliwym oprogramowaniem Microsoft Defender (Microsoft Malware Protection Engine) umożliwia podniesienie uprawnień. Luka ta, znana publicznie jako "RoguePlanet", może zostać wykorzystana przez atakującego do uzyskania wyższych uprawnień w systemie.

CVE-2026-47964
Wysokie

Podatność przepełnienia bufora sterty w DNG SDK w wersjach 1.7.1 2536 i wcześniejszych umożliwia zdalne wykonanie kodu w kontekście bieżącego użytkownika. Wykorzystanie wymaga otwarcia przez ofiarę złośliwego pliku.

CVE-2026-47749
Wysokie

Biblioteka stable-diffusion.cpp zawiera podatność na przepełnienie bufora w sterowniku SHORT_BINUNICODE podczas analizy plików checkpoint PyTorch. Wersje przed master-584-0a7ae07 są narażone na ataki, które mogą prowadzić do uszkodzenia sterty i potencjalnego wykonania kodu.

CVE-2026-10748
Wysokie

Użytkownik z uprawnieniami nx-licensing-create może przesłać specjalnie przygotowany plik licencyjny, co pozwala na wykonanie dowolnych poleceń systemowych jako użytkownik procesu Nexus w wersjach Sonatype Nexus Repository 3 przed 3.92.0.

PoprzedniaStrona 190 z 3429Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS