Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-8330
Średnie

Podatność w GitLab CE/EE umożliwiała zapisywanie wrażliwych informacji do logów aplikacji z powodu niewystarczającego filtrowania w punkcie końcowym API CI/CD. Problem dotyczy wszystkich wersji od 9.3 do 18.11.6, 19.0 do 19.0.3 oraz 19.1 do 19.1.1.

CVE-2026-5952
Średnie

W GitLab CE/EE wykryto podatność polegającą na nieprawidłowej weryfikacji autoryzacji, która w określonych warunkach umożliwia uwierzytelnionemu użytkownikowi z rolą dewelopera ominięcie reguł ochrony pakietów i nadpisanie chronionych metadanych pakietu Maven.

CVE-2026-5796
Średnie

W GitLab CE/EE wykryto podatność w funkcji pakietów grupowych, która umożliwia uwierzytelnionemu użytkownikowi z uprawnieniami Reportera w grupie przeglądanie metadanych pakietów z projektów, w których wyłączono rejestr pakietów. Problem wynika z nieprawidłowej weryfikacji autoryzacji i dotyczy wersji od 13.6 do 18.11.6, 19.0 do 19.0.3 oraz 19.1 do 19.1.1.

CVE-2026-5309
Średnie

W GitLab EE wykryto podatność, która w określonych warunkach umożliwiała uwierzytelnionemu użytkownikowi nieautoryzowany odczyt lub modyfikację ustawień zasad czyszczenia rejestru wirtualnego innej grupy. Problem dotyczy wszystkich wersji od 18.6 do 18.11.6, 19.0 do 19.0.3 oraz 19.1 do 19.1.1.

CVE-2026-3176
Niskie

W GitLab EE wykryto podatność, która w określonych warunkach umożliwiała uwierzytelnionemu użytkownikowi z ograniczonymi uprawnieniami dostęp do informacji o projekcie z powodu niewystarczających kontroli autoryzacji. Problem dotyczy wszystkich wersji od 18.6 do 18.11.6, 19.0 do 19.0.3 oraz 19.1 do 19.1.1.

CVE-2026-2238
Średnie

W GitLab CE/EE wykryto podatność, która w określonych warunkach umożliwiała nieuwierzytelnionemu użytkownikowi przeglądanie poufnych odnośników do zgłoszeń (issue references) w publicznych projektach. Problem wynika z nieprawidłowych kontroli autoryzacji i dotyczy wersji od 17.5 do 18.11.6, 19.0 do 19.0.3 oraz 19.1 do 19.1.1.

CVE-2026-1606
Średnie

Podatność w GitLab CE/EE umożliwia uwierzytelnionemu użytkownikowi ukrycie treści w Snippet z powodu nieprawidłowej walidacji danych wejściowych. Problem dotyczy wersji od 14.8 do 18.11.6, 19.0 do 19.0.3 oraz 19.1 do 19.1.1.

CVE-2026-13311
Wysokie

Podatność w bibliotece shell-quote przed wersją 1.8.5 powoduje, że funkcja parse() działa w czasie O(n^2) względem liczby tokenów wejściowych. Atakujący może dostarczyć specjalnie spreparowany ciąg znaków, który zablokuje jednowątkową pętlę zdarzeń Node.js na dłuższy czas, prowadząc do odmowy usługi (DoS).

CVE-2026-12635
Nieznane

W GitLab CE/EE wykryto podatność, która w określonych warunkach umożliwiała uwierzytelnionemu użytkownikowi z rolą maintainera wysyłanie żądań do wewnętrznych zasobów sieciowych poprzez synchronizację mirrorów. Problem wynika z nieprawidłowej walidacji adresów URL i dotyczy wersji od 8.3 do 18.11.6, 19.0 do 19.0.3 oraz 19.1 do 19.1.1.

CVE-2026-12053
Wysokie

W GitLab EE wykryto podatność, która w określonych warunkach mogła umożliwić użytkownikowi dostęp do poufnych informacji już zatwierdzonych w projekcie. Problem wynikał z niewystarczającego filtrowania danych wyjściowych w funkcji Duo Workflows.

CVE-2026-11379
Średnie

W GitLab EE wykryto podatność związaną z nieprawidłową autoryzacją w zarządzaniu profilami DAST. Użytkownik z rolą Developer może w określonych warunkach wyeksfiltrować sekrety profili DAST.

CVE-2026-10712
Wysokie

Podatność w GitLab CE/EE umożliwia nieuwierzytelnionemu atakującemu wykonanie dowolnego kodu JavaScript w sesji przeglądarki użytkownika z powodu nieprawidłowej walidacji ścieżki. Problem dotyczy wersji od 18.10 do 18.11.6, 19.0 do 19.0.3 oraz 19.1 do 19.1.1.

CVE-2026-10086
Wysokie

W GitLab EE wykryto podatność polegającą na niewłaściwym oczyszczaniu danych wejściowych użytkownika. Uwierzytelniony użytkownik z uprawnieniami dewelopera mógł, w określonych warunkach, wykonać dowolny kod po stronie klienta w kontekście sesji innego użytkownika.

CVE-2026-0934
Niskie

W GitLab EE wykryto podatność, która w określonych warunkach umożliwiała uwierzytelnionemu użytkownikowi z niestandardowymi uprawnieniami roli przeglądanie, tworzenie lub usuwanie konfiguracji chronionego środowiska, mimo że widoczność CI/CD była wyłączona dla projektu.

CVE-2026-2508
Średnie

Wtyczka Gravity Forms Booking dla WordPressa jest podatna na atak typu SQL Injection opartego na czasie poprzez parametr 'staff_id' we wszystkich wersjach do 2.7.1 włącznie, z powodu niewystarczającego zabezpieczenia dostarczonego przez użytkownika oraz braku odpowiedniego przygotowania istniejącego zapytania SQL.

CVE-2026-12079
Średnie

Wtyczka Dokan Pro dla WordPressa jest podatna na atak SQL Injection oparty na czasie poprzez parametr 'orderby' we wszystkich wersjach do 5.0.4 włącznie. Podatność wynika z niedostatecznego escapowania parametru dostarczanego przez użytkownika oraz braku odpowiedniego przygotowania zapytania SQL.

CVE-2026-12077
Wysokie

Wtyczka Dokan Pro dla WordPressa jest podatna na czasową iniekcję SQL przez parametry 'latitude' i 'longitude' we wszystkich wersjach do 5.0.4 włącznie. Podatność wynika z niedostatecznego escapowania parametrów użytkownika i braku odpowiedniego przygotowania zapytania SQL.

CVE-2026-10833
Średnie

Wtyczka Gutenberg Essential Blocks dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez atrybut 'configurablePrefix' w bloku. Problem ten występuje we wszystkich wersjach do 6.1.4 włącznie, z powodu niewystarczającej sanitizacji danych wejściowych i ucieczki danych wyjściowych.

CVE-2026-8662
Niskie

Podatność Path Traversal w funkcji create_archive wtyczki Compression InsightConnect firmy Rapid7 na systemie Linux umożliwia uwierzytelnionym atakującym zapis do nieprzewidzianych ścieżek plików poprzez spreparowaną nazwę pliku. Wpływ jest ograniczony do uszkodzenia plików, ponieważ atakujący nie kontroluje ich zawartości.

CVE-2026-8658
Średnie

Wtyczka Tcpdump dla Rapid7 InsightConnect na systemie Linux zawiera podatność na wstrzykiwanie poleceń systemu operacyjnego. Uwierzytelniony atakujący może wykonać dowolne polecenia poprzez parametry options lub filter z powodu niedostatecznego oczyszczania danych wejściowych.

PoprzedniaStrona 194 z 4563Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS