Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.14)
Nextcloud to platforma do współpracy nad treścią typu open source. W wersjach serwera Nextcloud od 32.0.0 do przed 32.0.9 oraz od 33.0.0 do przed 33.0.3, złośliwy użytkownik mający dostęp do udostępnionego pliku mógł wykorzystać token udostępnienia do bezpośredniego dostępu do przesyłania fragmentów i zobaczyć tymczasowe pliki podczas trwających przesyłek.
Nextcloud to otwartoźródłowa platforma do współpracy nad treścią. W wersjach od 33.0.0 do przed 33.1.0, po odblokowaniu zablokowanego telefonu z systemem Android, przycisk wstecz mógł być użyty do ominięcia kodu PIN aplikacji Nextcloud Files. Problem ten został naprawiony w wersji 33.1.0.
Billy to abstrakcja systemu plików dla Go. W wersjach przed 5.9.0 i 6.0.0-alpha.1, wiele komponentów może niewłaściwie obsługiwać spreparowane lub uszkodzone dane wejściowe, co prowadzi do panik, nieskończonych pętli, niekontrolowanej rekurencji lub nadmiernego zużycia zasobów.
W podatności CVE-2026-42679 występuje niewłaściwe ograniczenie ścieżki do zastrzeżonego katalogu, co umożliwia atak typu 'Path Traversal' w aplikacji Classified Listing. Problem ten dotyczy wersji od n/a do 5.3.8.
W podatności CVE-2026-42676 występuje niewłaściwa neutralizacja danych wejściowych podczas generowania stron internetowych w myCred, co prowadzi do możliwości wystąpienia ataków typu Stored XSS. Problem ten dotyczy wersji myCred od n/a do 3.0.4.
W podatności CVE-2026-42671 w Paolo GeoDirectory występuje brak autoryzacji, co pozwala na wykorzystanie nieprawidłowo skonfigurowanych poziomów kontroli dostępu. Problem ten dotyczy wersji GeoDirectory od n/a do 2.8.157.
W OpenSC w wersjach do 0.26.1 znaleziono lukę w funkcji test_kpgen_certwrite w pliku src/tools/pkcs11-tool.c modułu generowania kluczy pkcs11-tool. Luka ta prowadzi do przepełnienia bufora, co może być wykorzystane zdalnie.
Wykryto podatność w indrasishbanerjee aem-mcp-server do wersji b5f833aef9b5dfd17a5991b3b18a8a11edbdc583, która dotyczy funkcji getAssetMetadata w pliku src/mcp-server.ts komponentu Axios Request Flow. Manipulacja argumentem assetPath może prowadzić do ataku typu server-side request forgery, który można przeprowadzić zdalnie.
W systemie zarządzania studentami a4m4 do wersji f0c5f6842c5e8c431ff02b5260a565ca844df3a0 zidentyfikowano podatność w nieznanej funkcji pliku admin/deleteform.php. Manipulacja argumentem sid prowadzi do niewłaściwej autoryzacji, co umożliwia zdalne przeprowadzenie ataku.
W systemie zarządzania studentami a4m4 do wersji f0c5f6842c5e8c431ff02b5260a565ca844df3a0 zidentyfikowano lukę w nieznanej funkcji pliku admin/ w komponencie Admin Endpoint. Manipulacja argumentem uid prowadzi do wykonania kodu po przekierowaniu, co umożliwia zdalne przeprowadzenie ataku.
Wykryto podatność w decolua 9router do wersji 0.4.0, która dotyczy funkcji isAuthenticated w pliku src/dashboardGuard.js komponentu HTTP Header Handler. Manipulacja argumentem Host prowadzi do niewłaściwej autoryzacji, co umożliwia zdalny atak.
W OpenShift Container Platform znaleziono lukę, która pozwala na generowanie dużej liczby zdarzeń przez nieuprzywilejowanego użytkownika. Użytkownik ten może tworzyć pody w przestrzeni nazw, co prowadzi do degradacji wydajności serwera API w całym klastrze.
Zidentyfikowano podatność w systemie zarządzania treścią itsourcecode w wersji 1.0. Problem dotyczy nieznanej funkcjonalności pliku /admin/edit_topic.php, gdzie manipulacja argumentem topic_id prowadzi do wstrzykiwania SQL.
W funkcji gf_media_get_color_info (/media_tools/isom_tools.c) w GPAC Project/MP4Box przed wersją 26.02.0 występuje naruszenie segmentacji, które pozwala atakującym na wywołanie Denial of Service (DoS) poprzez dostarczenie spreparowanego pliku danych.
W funkcji dasher_process (/filters/dasher.c) w GPAC Project/MP4Box przed wersją 26.02.0 występuje podatność typu use-after-free w stercie, która pozwala atakującym na wywołanie Denial of Service (DoS) poprzez dostarczenie spreparowanego pliku MPEG-2.
W funkcji gf_isom_apple_set_tag_ex w GPAC Project/MP4Box przed wersją 26.02.0 występuje naruszenie segmentacji, które pozwala atakującym na wywołanie Denial of Service (DoS) poprzez dostarczenie spreparowanego pliku MP4.
W funkcji gf_ac4_pres_b_4_back_channels_present w projekcie GPAC/MP4Box przed wersją 26.02.0 występuje dereferencja wskaźnika NULL, co pozwala atakującym na spowodowanie awarii usługi (DoS) poprzez dostarczenie spreparowanego pliku AC4.
W funkcji gf_odf_ac4_cfg_dsi_v1 w projekcie GPAC/MP4Box przed wersją 26.02.0 występuje dereferencja wskaźnika NULL, co pozwala atakującym na spowodowanie awarii usługi (DoS) poprzez dostarczenie spreparowanego pliku AC4.
W funkcji m2tsdmx_send_packet (filters/dmx_m2ts.c) w GPAC MP4Box v2.4 występuje przepełnienie bufora na stercie, które umożliwia atakującym spowodowanie awarii usługi (DoS) poprzez dostarczenie spreparowanego pliku MP4.
Firefox dla iOS w trybie czytania nieprawidłowo uciekał znaczniki HTML w metadanych JSON-LD. Złośliwa strona mogła wstrzyknąć kod, który zmieniał zachowanie trybu czytania i ujawniał wrażliwe parametry URL.

