Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.15)

CVE-2026-49138
Średnie

Nanobot przed wersją 0.2.1 zawiera podatność na fałszowanie żądań po stronie serwera (SSRF) w narzędziu web_fetch. Atakujący może wykorzystać automatyczne podążanie za przekierowaniami HTTP w bibliotece httpx, aby ominąć walidację URL i wysłać żądania do wewnętrznych lub prywatnych hostów.

CVE-2026-10289
Średnie

W systemie rezerwacji hotelowej i turystycznej w wersji 1.0 odkryto lukę bezpieczeństwa. Manipulacja argumentami name, email, people oraz number w pliku /ht/tour.php prowadzi do ataku typu cross-site scripting (XSS).

CVE-2026-10286
Średnie

W systemie płacowym CodeAstro w wersji 1.0 odkryto podatność, która dotyczy nieznanej części pliku /home_employee.php. Manipulacja argumentem emp_id prowadzi do wstrzykiwania SQL, co może być przeprowadzone zdalnie.

CVE-2026-10285
Średnie

W projekcie DevaslanPHP w wersjach do 2.0.0-beta1 zidentyfikowano podatność w funkcji KanbanScrumHelper::recordUpdated w pliku app/Helpers/KanbanScrumHelper.php. Problem ten prowadzi do niewłaściwej autoryzacji, co umożliwia zdalne przeprowadzenie ataku.

CVE-2026-10284
Średnie

W projekcie DevaslanPHP do wersji 2.0.0-beta1 wykryto lukę w funkcji editComment/doDeleteComment w pliku app/Filament/Resources/TicketResource/Pages/ViewTicket.php komponentu Livewire Handler. Wykonanie manipulacji może prowadzić do niewłaściwej autoryzacji.

CVE-2026-45810
Średnie

Nextcloud to otwartoźródłowa platforma do współpracy nad treścią. W wersjach serwera Nextcloud od 31.0.0 do przed 31.0.12 oraz od 32.0.0 do przed 32.0.3 brakowało sprawdzenia relacji, co pozwalało uwierzytelnionym użytkownikom z dostępem do komentarzy plików na odczytanie treści wszystkich komentarzy.

CVE-2026-45729
Średnie

W silniku grafiki wektorowej Thor Vector Graphics (ThorVG) przed wersją 1.0.5 występowała podatność na dereferencję wskaźnika null w funkcji SvgLoader::run(). Umożliwia to każdemu, kto przekaże nieufne dane SVG do Picture::load(), spowodowanie awarii procesu przy użyciu 6-bajtowego ładunku.

CVE-2026-45691
Średnie

Nextcloud to otwartoźródłowa platforma do współpracy nad treścią. W wersjach serwera Nextcloud od 32.0.0 do przed 32.0.9 oraz od 33.0.0 do przed 33.0.3, sesyjny cookie przed weryfikacją dwuetapową (utworzony po pomyślnej autoryzacji hasłem, ale przed zakończeniem TOTP) mógł być ponownie użyty jako token Bearer do autoryzacji w punktach końcowych DAV, co umożliwiało dostęp do odczytu/zapisu oraz omijanie obowiązkowej weryfikacji dwuetapowej.

CVE-2026-45690
Średnie

Nextcloud to otwartoźródłowa platforma do współpracy nad treścią. W wersjach serwera Nextcloud od 32.0.0 do przed 32.0.9 oraz od 33.0.0 do przed 33.0.3 wystąpiła podatność na obejście uwierzytelniania, która pozwalała atakującym, znającym hasło użytkownika, na ominięcie zabezpieczeń dwuetapowego uwierzytelniania (2FA).

CVE-2026-45544
Średnie

Nextcloud to platforma do współpracy nad treścią typu open source. W wersjach od 0.8.0 do przed 1.0.4 kryteria filtrów widoku są dostępne dla użytkowników z uprawnieniami tylko do odczytu w tabelach Nextcloud. Problem został naprawiony w wersjach 1.0.4 i 2.0.0.

CVE-2026-45543
Średnie

Nextcloud to platforma do współpracy nad treścią typu open source. W wersjach od 4.3.0 do przed 5.2.7, usunięty współpracownik zachowuje nieautoryzowany dostęp do przesłanych plików odpowiedzi dla dotkniętego formularza. Problem ten został naprawiony w wersji 5.2.7.

CVE-2026-45286
Średnie

Nextcloud to otwartoźródłowa platforma do współpracy nad treścią. W wersjach od 5.5.13 do przed 5.5.17 oraz 6.2.0 do przed 6.2.3, uwierzytelniony użytkownik mógł enumerować użytkowników na tej samej instancji Nextcloud, korzystając z punktu końcowego aplikacji Kalendarz do sugerowania uczestników. Ograniczenia udostępniania, stosowane w innych punktach końcowych, nie były tutaj skuteczne.

CVE-2026-45285
Średnie

Nextcloud to otwartoźródłowa platforma do współpracy nad treścią. W wersjach od 32.0.0 do przed 32.0.9 oraz od 33.0.0 do przed 33.0.3, podczas udostępniania folderu lub pliku zespołowi Nextcloud z członkiem zewnętrznym, system automatycznie tworzy publiczny link, który nie jest widoczny dla właściciela folderu.

CVE-2026-45284
Średnie

Nextcloud to platforma do współpracy nad treścią typu open source. W wersjach od 1.3.6 do przed 8.4.0 wystąpił problem z niewłaściwą weryfikacją, który pozwalał użytkownikom z LDAP na autoryzację w systemie OIDC nawet po ich usunięciu.

CVE-2026-45283
Średnie

W Nextcloud Server w wersjach od 32.0.0 do przed 32.0.2 oraz od 33.0.0 do przed 33.0.1, aplikacja files_lock nieprawidłowo weryfikowała właścicieli plików podczas przetwarzania żądań blokowania i odblokowywania DAV. Użytkownik z autoryzacją mógł blokować lub odblokowywać pliki należące do innych użytkowników, celując w ich absolutne ścieżki WebDAV.

CVE-2026-45282
Średnie

Nextcloud to otwarta platforma do współpracy nad treścią. W wersjach serwera Nextcloud od 32.0.0 do przed 32.0.9 oraz od 33.0.0 do przed 33.0.3, uwierzytelniony atakujący może uzyskać dostęp do załączników udostępnionych linków, znając token udostępnienia, omijając zabezpieczenia hasłem lub ograniczenia pobierania.

CVE-2026-45279
Średnie

Nextcloud to otwartoźródłowa platforma do współpracy nad treścią. W wersjach serwera Nextcloud od 31.0.0 do przed 31.0.14 oraz od 32.0.0 do przed 32.0.4, użytkownicy niebędący administratorami mogą w niektórych przypadkach kopiować dowolne pliki do własnego katalogu Nextcloud poprzez atak typu path traversal, jeśli w konfiguracji użyto {lang}.

CVE-2026-45275
Średnie

W aplikacji Approval w Nextcloud przed wersją 2.7.2 występuje podatność na eskalację uprawnień, która pozwala użytkownikowi bez uprawnień do udostępniania wymusić na systemie udostępnienie pliku osobom zatwierdzającym. To prowadzi do obejścia autoryzacji i eskalacji uprawnień, umożliwiając nieautoryzowane udostępnianie zastrzeżonych plików.

CVE-2026-40990
Średnie

Występuje błąd OOM (Out of Memory) podczas próby dodawania nieskończonej liczby funkcji do Rejestru Funkcji w produktach Spring. Dotyczy to wersji Spring Cloud Function przed określonymi wersjami w gałęziach 3.2.x, 4.1.x, 4.2.x, 4.3.x oraz 5.0.x.

CVE-2026-40989
Średnie

Podatność CVE-2026-40989 dotyczy nieskończonej rekurencji w warstwie routingu, co może prowadzić do błędu OOM (Out of Memory) podczas obsługi żądań. Dotyczy to różnych wersji Spring Cloud Function, w tym 3.2.x, 4.1.x, 4.2.x, 4.3.x oraz 5.0.x, a także starszych, nieobsługiwanych wersji.

PoprzedniaStrona 209 z 565Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS