Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.14)

CVE-2026-45157
Średnie

Nextcloud to platforma do współpracy nad treścią typu open source. W wersjach serwera Nextcloud od 32.0.0 do przed 32.0.9 oraz od 33.0.0 do przed 33.0.3, złośliwy użytkownik mający dostęp do udostępnionego pliku mógł wykorzystać token udostępnienia do bezpośredniego dostępu do przesyłania fragmentów i zobaczyć tymczasowe pliki podczas trwających przesyłek.

CVE-2026-45153
Średnie

Nextcloud to otwartoźródłowa platforma do współpracy nad treścią. W wersjach od 33.0.0 do przed 33.1.0, po odblokowaniu zablokowanego telefonu z systemem Android, przycisk wstecz mógł być użyty do ominięcia kodu PIN aplikacji Nextcloud Files. Problem ten został naprawiony w wersji 33.1.0.

CVE-2026-44740
Średnie

Billy to abstrakcja systemu plików dla Go. W wersjach przed 5.9.0 i 6.0.0-alpha.1, wiele komponentów może niewłaściwie obsługiwać spreparowane lub uszkodzone dane wejściowe, co prowadzi do panik, nieskończonych pętli, niekontrolowanej rekurencji lub nadmiernego zużycia zasobów.

CVE-2026-42679
Średnie

W podatności CVE-2026-42679 występuje niewłaściwe ograniczenie ścieżki do zastrzeżonego katalogu, co umożliwia atak typu 'Path Traversal' w aplikacji Classified Listing. Problem ten dotyczy wersji od n/a do 5.3.8.

CVE-2026-42676
Średnie

W podatności CVE-2026-42676 występuje niewłaściwa neutralizacja danych wejściowych podczas generowania stron internetowych w myCred, co prowadzi do możliwości wystąpienia ataków typu Stored XSS. Problem ten dotyczy wersji myCred od n/a do 3.0.4.

CVE-2026-42671
Średnie

W podatności CVE-2026-42671 w Paolo GeoDirectory występuje brak autoryzacji, co pozwala na wykorzystanie nieprawidłowo skonfigurowanych poziomów kontroli dostępu. Problem ten dotyczy wersji GeoDirectory od n/a do 2.8.157.

CVE-2026-10275
Średnie

W OpenSC w wersjach do 0.26.1 znaleziono lukę w funkcji test_kpgen_certwrite w pliku src/tools/pkcs11-tool.c modułu generowania kluczy pkcs11-tool. Luka ta prowadzi do przepełnienia bufora, co może być wykorzystane zdalnie.

CVE-2026-10274
Średnie

Wykryto podatność w indrasishbanerjee aem-mcp-server do wersji b5f833aef9b5dfd17a5991b3b18a8a11edbdc583, która dotyczy funkcji getAssetMetadata w pliku src/mcp-server.ts komponentu Axios Request Flow. Manipulacja argumentem assetPath może prowadzić do ataku typu server-side request forgery, który można przeprowadzić zdalnie.

CVE-2026-10272
Średnie

W systemie zarządzania studentami a4m4 do wersji f0c5f6842c5e8c431ff02b5260a565ca844df3a0 zidentyfikowano podatność w nieznanej funkcji pliku admin/deleteform.php. Manipulacja argumentem sid prowadzi do niewłaściwej autoryzacji, co umożliwia zdalne przeprowadzenie ataku.

CVE-2026-10271
Średnie

W systemie zarządzania studentami a4m4 do wersji f0c5f6842c5e8c431ff02b5260a565ca844df3a0 zidentyfikowano lukę w nieznanej funkcji pliku admin/ w komponencie Admin Endpoint. Manipulacja argumentem uid prowadzi do wykonania kodu po przekierowaniu, co umożliwia zdalne przeprowadzenie ataku.

CVE-2026-10269
Średnie

Wykryto podatność w decolua 9router do wersji 0.4.0, która dotyczy funkcji isAuthenticated w pliku src/dashboardGuard.js komponentu HTTP Header Handler. Manipulacja argumentem Host prowadzi do niewłaściwej autoryzacji, co umożliwia zdalny atak.

CVE-2026-10533
Średnie

W OpenShift Container Platform znaleziono lukę, która pozwala na generowanie dużej liczby zdarzeń przez nieuprzywilejowanego użytkownika. Użytkownik ten może tworzyć pody w przestrzeni nazw, co prowadzi do degradacji wydajności serwera API w całym klastrze.

CVE-2026-10265
Średnie

Zidentyfikowano podatność w systemie zarządzania treścią itsourcecode w wersji 1.0. Problem dotyczy nieznanej funkcjonalności pliku /admin/edit_topic.php, gdzie manipulacja argumentem topic_id prowadzi do wstrzykiwania SQL.

CVE-2025-60495
Średnie

W funkcji gf_media_get_color_info (/media_tools/isom_tools.c) w GPAC Project/MP4Box przed wersją 26.02.0 występuje naruszenie segmentacji, które pozwala atakującym na wywołanie Denial of Service (DoS) poprzez dostarczenie spreparowanego pliku danych.

CVE-2025-60486
Średnie

W funkcji dasher_process (/filters/dasher.c) w GPAC Project/MP4Box przed wersją 26.02.0 występuje podatność typu use-after-free w stercie, która pozwala atakującym na wywołanie Denial of Service (DoS) poprzez dostarczenie spreparowanego pliku MPEG-2.

CVE-2025-60485
Średnie

W funkcji gf_isom_apple_set_tag_ex w GPAC Project/MP4Box przed wersją 26.02.0 występuje naruszenie segmentacji, które pozwala atakującym na wywołanie Denial of Service (DoS) poprzez dostarczenie spreparowanego pliku MP4.

CVE-2025-60483
Średnie

W funkcji gf_ac4_pres_b_4_back_channels_present w projekcie GPAC/MP4Box przed wersją 26.02.0 występuje dereferencja wskaźnika NULL, co pozwala atakującym na spowodowanie awarii usługi (DoS) poprzez dostarczenie spreparowanego pliku AC4.

CVE-2025-60481
Średnie

W funkcji gf_odf_ac4_cfg_dsi_v1 w projekcie GPAC/MP4Box przed wersją 26.02.0 występuje dereferencja wskaźnika NULL, co pozwala atakującym na spowodowanie awarii usługi (DoS) poprzez dostarczenie spreparowanego pliku AC4.

CVE-2025-55664
Średnie

W funkcji m2tsdmx_send_packet (filters/dmx_m2ts.c) w GPAC MP4Box v2.4 występuje przepełnienie bufora na stercie, które umożliwia atakującym spowodowanie awarii usługi (DoS) poprzez dostarczenie spreparowanego pliku MP4.

CVE-2026-9309
Średnie

Firefox dla iOS w trybie czytania nieprawidłowo uciekał znaczniki HTML w metadanych JSON-LD. Złośliwa strona mogła wstrzyknąć kod, który zmieniał zachowanie trybu czytania i ujawniał wrażliwe parametry URL.

PoprzedniaStrona 201 z 551Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS