Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-53950
Wysokie

Klient ActivityPub w aplikacji Ghost był podatny na wstrzykiwanie JavaScript w postach udostępnianych przez złośliwie skonfigurowany serwer ActivityPub przed wersją 3.1.0. Ta podatność została naprawiona w wersji 3.1.0.

CVE-2026-53949
Średnie

W systemie zarządzania treścią Ghost, od wersji 5.46.1 do 6.21.2, walidacja filtrów na publicznych punktach API mogła być częściowo obejściowa, co umożliwiało ujawnienie prywatnych pól poprzez atak brute force. W przypadku użycia SQLite, hasła były w pełni dostępne, natomiast w przypadku MySQL, wielkość liter w hasłach została utracona, co mogło uniemożliwić dalsze ataki brute force.

CVE-2026-53948
Średnie

Ghost to system zarządzania treścią oparty na Node.js. W wersjach od 6.19.4 do 6.21.1 niewystarczająca walidacja typu Content-Type dostarczanego przez klienta na końcówce API do przesyłania plików umożliwiła serwowanie przesłanych plików z wybranym przez atakującego typem treści z backendów S3/GCS.

CVE-2026-53947
Średnie

Podatność w systemie zarządzania treścią Ghost (wersje od 5.18.0 do 6.21.1) umożliwia nieuwierzytelnionemu atakującemu sprawdzenie, czy dany adres e-mail należy do zarejestrowanego użytkownika. Problem wynika z różnic w odpowiedziach zwracanych przez endpointy logowania członków.

CVE-2026-53946
Średnie

Ghost to system zarządzania treścią oparty na Node.js. W wersjach od 6.19.4 do 6.21.1, podczas ponownego renderowania postów, Ghost mógł wysyłać żądania HTTP do nieautoryzowanych hostów obrazów, co stwarzało ryzyko dla bezpieczeństwa.

CVE-2026-53945
Średnie

Ghost to system zarządzania treścią oparty na Node.js. W wersjach od 6.0.9 do 6.21.1, sprawdzenie prywatnego adresu IP dla wychodzących żądań HTTP mogło być obejście za pomocą DNS rebinding, co pozwalało atakującemu na zmuszenie serwera Ghost do łączenia się z hostami w sieciach wewnętrznych.

CVE-2026-53944
Średnie

Ghost to system zarządzania treścią oparty na Node.js. W wersjach od 6.0.9 do 6.21.1 istnieje możliwość ominięcia filtra IP podczas wykonywania zewnętrznego żądania, co pozwala na skierowanie go do wewnętrznej usługi przy użyciu literału IPv6 odpowiadającego prywatnemu adresowi IPv4.

CVE-2026-53943
Krytyczne

Ghost to system zarządzania treścią oparty na Node.js. W wersjach do 6.37.0, gdy Ghost działa za wspólną warstwą pamięci podręcznej, nieautoryzowany użytkownik mógł wysłać nagłówek x-ghost-preview, co prowadziło do zmiany renderowanej odpowiedzi frontendowej.

CVE-2026-49980
Krytyczne

Rclone w wersjach od 1.46.0 do 1.74.2 zawiera podatność w trybie serwera (rcd --rc-serve), która pozwala nieuwierzytelnionym żądaniom GET i HEAD na wykonywanie dowolnych poleceń systemowych. Atakujący może wykorzystać specjalnie spreparowane URL-e do inicjalizacji backendu z opcjami wykonującymi lokalne polecenia.

CVE-2026-49247
Wysokie

Podatność w Jellyfin od wersji 10.9.0 do 10.11.9 umożliwia uwierzytelnionym użytkownikom niebędącym administratorami zapisanie dowolnych plików na serwerze poprzez manipulację polem Client w nagłówku Authorization. Atakujący może użyć sekwencji ../ w tym polu, aby nadpisać pliki w dowolnych lokalizacjach dostępnych dla usługi Jellyfin, z wymuszonym rozszerzeniem .log.

CVE-2026-49246
Niskie

Podatność w Jellyfin przed wersją 10.11.10 pozwala na zapis plików w dowolnej ścieżce systemu plików poprzez spreparowany plik MKV z fałszywymi znacznikami nazw załączników. Brak sanityzacji ścieżki w metodzie Path.Combine umożliwia nadpisanie lub utworzenie plików poza docelowym katalogiem.

CVE-2026-49220
Średnie

Jellyfin, otwartoźródłowy serwer multimedialny, przed wersją 10.11.9 zawierał potencjalną podatność XSS, która pozwalała na wykonanie dowolnego kodu Javascript przez nieuprzywilejowanego użytkownika w kontekście zalogowanego użytkownika administracyjnego. Atak mógł wystąpić poprzez nagłówek Client podczas AuthenticateByName.

CVE-2026-48793
Wysokie

Podatność w Jellyfin przed wersją 10.11.10 umożliwia wstrzyknięcie argumentów do FFmpeg przez specjalnie spreparowaną nazwę pliku napisów. Atakujący bez uwierzytelnienia może wykorzystać brak normalizacji ścieżki w SubtitleEncoder, co prowadzi do zapisu dowolnych plików na serwerze i ujawnienia informacji.

CVE-2026-13038
Wysokie

Wykorzystanie po zwolnieniu pamięci w funkcji Autofill w Google Chrome na systemie Windows przed wersją 149.0.7827.197 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu za pomocą spreparowanej strony HTML.

CVE-2026-13037
Wysokie

Wykorzystanie po zwolnieniu pamięci w WebView w Google Chrome na Androidzie przed wersją 149.0.7827.197 umożliwia lokalnemu atakującemu wykonanie dowolnego kodu w obrębie piaskownicy za pomocą spreparowanej strony HTML.

CVE-2026-13036
Wysokie

Wykorzystanie po zwolnieniu pamięci w Blink w Google Chrome przed wersją 149.0.7827.197 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu wewnątrz piaskownicy za pomocą spreparowanej strony HTML.

CVE-2026-13035
Wysokie

Wykorzystanie po zwolnieniu pamięci w Bluetooth w Google Chrome na Macu przed wersją 149.0.7827.197 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu za pomocą złośliwego urządzenia peryferyjnego.

CVE-2026-13034
Średnie

Nieodpowiednia implementacja w systemie haseł w Google Chrome przed wersją 149.0.7827.197 umożliwiła zdalnemu atakującemu, który przejął proces renderowania, ominięcie izolacji witryn za pomocą spreparowanej strony HTML.

CVE-2026-13033
Wysokie

W Google Chrome przed wersją 149.0.7827.197 występowała podatność na odczyt i zapis poza dozwolonym zakresem w Blink>InterestGroups, co pozwalało zdalnemu atakującemu na wykonanie dowolnego kodu za pomocą spreparowanej strony HTML.

CVE-2026-13032
Krytyczne

Wykorzystanie po zwolnieniu pamięci w WebGL w Google Chrome na Androidzie przed wersją 149.0.7827.197 umożliwia zdalnemu atakującemu potencjalne wykonanie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.

PoprzedniaStrona 201 z 4562Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS