Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.14)

CVE-2026-49753
Średnie

Podatność CVE-2026-49753 dotyczy niekonsekwentnej interpretacji żądań HTTP w elixir-mint, co pozwala atakującym na desynchronizację ramki odpowiedzi na współdzielonych połączeniach. Parser Content-Length w Mint akceptuje wartości z prefiksem + lub -, co jest niezgodne z RFC 7230.

CVE-2026-45684
Średnie

OpenTelemetry eBPF Instrumentation w wersjach od 0.7.0 do przed 0.9.0 ma problem z niewłaściwym przetwarzaniem buforów writev przez log enricher OBI, który odczytuje tylko pierwszy wpis iovec, ale używa całkowitej długości iov_iter.count jako długości kopiowania. W przypadku włączonego wstrzykiwania logów, złośliwe wywołanie writev może spowodować odczyt i nadpisanie pamięci poza pierwszym segmentem.

CVE-2026-45682
Średnie

OpenTelemetry eBPF Instrumentation przed wersją 0.9.0 zawierał problem z CappedConcurrentHashMap, który nie usuwał kluczy z kolejki przy wstawianiu, gdy wpisy były usuwane. W długoterminowych uruchomieniach JVM może to prowadzić do nieograniczonego wzrostu kolejki i wyczerpania pamięci sterty.

CVE-2026-45681
Średnie

OpenTelemetry eBPF Instrumentation przed wersją 0.9.0 używa 256-bajtowego bufora zapasowego, ale zachowuje oryginalny rozmiar ładunku, który może wynosić do 8KB. W przypadku niezgodności CPU, OBI może odczytać dane poza buforem zapasowym, co prowadzi do wycieku pamięci sąsiedniej do telemetrii.

CVE-2026-45680
Średnie

OpenTelemetry eBPF Instrumentation przed wersją 0.9.0 miało problem z wydajnością, gdzie OBI odtwarzało trafienia probe BPF w obserwacjach histogramu, co prowadziło do nadmiernego obciążenia CPU na zajętych systemach. Problem ten został naprawiony w wersji 0.9.0.

CVE-2026-45679
Średnie

OpenTelemetry eBPF Instrumentation przed wersją 0.9.0 eksportuje surowe komunikaty o błędach Redis jako wiadomości statusu span. Może to prowadzić do wycieku tokenów, danych osobowych lub innych poufnych informacji do systemów telemetrycznych.

CVE-2026-45676
Średnie

OpenTelemetry eBPF Instrumentation przed wersją 0.9.0 zawierał parser ELF, który ufał wskaźnikom sekcji oraz przesunięciom w plikach wykonywalnych. Złośliwie skonstruowany lokalny plik ELF mógł spowodować dereferencję nieprawidłowych wskaźników sekcji, co prowadziło do paniki agenta podczas określania języka procesu.

CVE-2026-45554
Średnie

NiceGUI to framework UI oparty na Pythonie. W wersjach przed 3.12.0, dwa endpointy FastAPI obsługujące statyczne zasoby per-komponentowe akceptują parametr sub-ścieżki, który może prowadzić do katalogu zamiast pliku, co skutkuje nieobsłużonym błędem RuntimeError.

CVE-2026-45080
Średnie

Klaw to narzędzie do zarządzania i nadzorowania tematów Apache Kafka. W wersjach przed 2.10.4 występował problem z niewłaściwą kontrolą dostępu, który umożliwiał ujawnienie hasha hasła. Problem ten został naprawiony w wersji 2.10.4.

CVE-2026-38978
Średnie

W wersji 4.1.1 oprogramowania Transmission zidentyfikowano podatność typu clickjacking w interfejsie WebUI oraz w ścieżkach odpowiedzi RPC. Atakujący może wykorzystać tę lukę do oszukania użytkowników i zmuszenia ich do wykonania niezamierzonych działań.

CVE-2026-35718
Średnie

Podatność polegająca na przechodzeniu do dowolnych ścieżek w punkcie końcowym /admin/downloadMedias.cgi w oprogramowaniu sprzętowym FD8136-VVTK firmy VIVOTEK INC (wersja 0300a) umożliwia uwierzytelnionym atakującym odczyt dowolnego pliku na urządzeniu poprzez wysłanie spreparowanego żądania.

CVE-2026-35716
Średnie

W oprogramowaniu sprzętowym VIVOTEK FD8136 (wersja FD8136-VVTK-0300a) w pliku binarnym motion_privacy.cgi występuje przepełnienie bufora stosu. Uwierzytelniony atakujący zdalny może wysłać żądanie POST z nadmiernie długim parametrem n1 do jednego z trzech punktów końcowych, co prowadzi do wykonania dowolnego kodu z uprawnieniami roota.

CVE-2026-34460
Średnie

NamelessMC to oprogramowanie do tworzenia stron internetowych dla serwerów Minecraft. W wersjach 2.2.4 i wcześniejszych obsługa callbacków OAuth nie weryfikuje parametru state po stronie serwera przed wymianą kodu autoryzacyjnego, co umożliwia atakującemu przechwycenie ważnego URL callbacka OAuth dla własnego konta.

CVE-2026-49782
Średnie

Podatność związana z brakiem autoryzacji w Elementor Website Builder umożliwia wykorzystanie nieprawidłowo skonfigurowanych poziomów kontroli dostępu. Dotyczy to wersji od n/a do 4.1.0.

CVE-2026-43965
Średnie

Podatność typu path traversal w zarządzaniu zależnościami Gleam pozwala na usunięcie dowolnego katalogu poprzez złośliwą zawartość pliku build/packages/packages.toml. Klucze pakietów odczytywane z tego pliku są przekazywane bez walidacji, co umożliwia atakującemu manipulację ścieżkami systemowymi.

CVE-2026-42795
Średnie

Podatność związana z podążaniem za symlinkami w eksporcie pakietu Hex w Gleam umożliwia osadzenie plików spoza katalogu projektu w wygenerowanym archiwum tarball. Funkcje zbierające pliki nie weryfikują, czy docelowa ścieżka pozostaje w obrębie katalogu projektu, co pozwala na osadzenie zawartości symlinków.

CVE-2026-41918
Średnie

Zidentyfikowano podatność w RUGGEDCOM RST2428P (6GK6242-6PA00) we wszystkich wersjach poniżej V4.0. Aplikacje dotknięte tą podatnością przechowują w pamięci podręcznej przeglądarki wrażliwe informacje, gdy uwierzytelniony użytkownik modyfikuje określone konfiguracje.

CVE-2026-35717
Średnie

W oprogramowaniu VIVOTEK FD8136 (wersja FD8136-VVTK-0300a) w pliku export_language.cgi występuje przepełnienie bufora stosu. Uwierzytelniony atakujący może wysłać spreparowane żądanie POST do endpointu /cgi-bin/admin/export_language.cgi, przekazując kontrolowaną wartość Content-Length do funkcji fread(), co prowadzi do nadpisania rejestru powrotu i wykonania dowolnego kodu z uprawnieniami roota.

CVE-2026-32685
Średnie

Podatność typu path traversal w obsłudze niestandardowych stron dokumentacji w Gleam pozwala na odczyt i zapis plików poza zamierzonym katalogiem wyjściowym dokumentacji. Wprowadzenie wpisów z gleam.toml do ścieżek systemowych nie jest wystarczająco walidowane, co umożliwia atakującym manipulację plikami.

CVE-2026-32250
Średnie

W oprogramowaniu NamelessMC dla serwerów Minecraft odkryto podatność typu Reflected Cross-Site Scripting (XSS) w wersji 2.2.4, dotyczącą parametru id w punkcie końcowym `/index.php?route=/queries/user/`. Aplikacja odzwierciedla dane wejściowe użytkownika z parametru id w odpowiedzi HTML bez odpowiedniej sanitizacji lub kodowania wyjścia.

PoprzedniaStrona 194 z 551Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS