Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.15)
W podatności CVE-2026-10278 zidentyfikowano problem w ishayoyo excel-mcp do wersji 1.0.2, dotyczący nieznanej funkcji w pliku src/index.ts komponentu read_file/write_file. Manipulacja argumentami filePath/outputPath może prowadzić do ataku typu path traversal.
Wykryto podatność w narzędziu MCP Gmail Tool w wersjach do 831790e7d5c2663325733d9f5579cc339a267c4c. Problem dotyczy funkcji saveToDisk w pliku src/tools/gmail.ts i prowadzi do niewłaściwych kontroli dostępu, co umożliwia zdalne przeprowadzenie ataku.
Wykryto podatność w hekmon8 Jenkins-server-mcp w wersji 0.1.0, która dotyczy funkcji jobPath w pliku src/index.ts komponentu get_build_status/get_build_log/trigger_build. Manipulacja ta prowadzi do ataku typu server-side request forgery, który może być przeprowadzony zdalnie.
Podatność w pip powoduje, że skrypty konsolowe i GUI są traktowane jako ścieżki zamiast nazw plików, bez sanityzacji rozpoznanej ścieżki bezwzględnej do katalogu instalacyjnego, co umożliwia instalację punktów wejścia poza tym katalogiem.
Sulu to otwartoźródłowy system zarządzania treścią PHP oparty na frameworku Symfony. W wersjach przed 2.6.23 i 3.0.6, token resetowania hasła oraz generowanie klucza API korzystały z słabego algorytmu haszującego. Problem ten został naprawiony w wersjach 2.6.23 i 3.0.6.
Nextcloud to otwarta platforma do współpracy nad treścią. Przed wersją 5.2.6 brak weryfikacji uprawnień umożliwiał użytkownikom żądanie odczytu formularzy przesłanych przez innych użytkowników. Problem został naprawiony w wersji 5.2.6.
W Nextcloud, od wersji 17.0.0 do przed 17.0.15, 18.0.0 do przed 18.1.12, 19.0.0 do przed 19.1.16, 20.0.0 do przed 20.1.11 oraz 21.0.0 do przed 21.0.4, użytkownik z uprawnieniami READ i CREATE, ale bez uprawnień UPDATE dla folderu zespołowego, może zmieniać nazwy plików w tym folderze. Problem został naprawiony w wersjach 17.0.15, 18.1.12, 19.1.16, 20.1.11 oraz 21.0.4.
Nextcloud to platforma do współpracy nad treścią typu open source. W wersjach serwera Nextcloud od 32.0.0 do przed 32.0.9 oraz od 33.0.0 do przed 33.0.3, złośliwy użytkownik mający dostęp do udostępnionego pliku mógł wykorzystać token udostępnienia do bezpośredniego dostępu do przesyłania fragmentów i zobaczyć tymczasowe pliki podczas trwających przesyłek.
Nextcloud to otwartoźródłowa platforma do współpracy nad treścią. W wersjach od 33.0.0 do przed 33.1.0, po odblokowaniu zablokowanego telefonu z systemem Android, przycisk wstecz mógł być użyty do ominięcia kodu PIN aplikacji Nextcloud Files. Problem ten został naprawiony w wersji 33.1.0.
Billy to abstrakcja systemu plików dla Go. W wersjach przed 5.9.0 i 6.0.0-alpha.1, wiele komponentów może niewłaściwie obsługiwać spreparowane lub uszkodzone dane wejściowe, co prowadzi do panik, nieskończonych pętli, niekontrolowanej rekurencji lub nadmiernego zużycia zasobów.
W podatności CVE-2026-42679 występuje niewłaściwe ograniczenie ścieżki do zastrzeżonego katalogu, co umożliwia atak typu 'Path Traversal' w aplikacji Classified Listing. Problem ten dotyczy wersji od n/a do 5.3.8.
W podatności CVE-2026-42676 występuje niewłaściwa neutralizacja danych wejściowych podczas generowania stron internetowych w myCred, co prowadzi do możliwości wystąpienia ataków typu Stored XSS. Problem ten dotyczy wersji myCred od n/a do 3.0.4.
W podatności CVE-2026-42671 w Paolo GeoDirectory występuje brak autoryzacji, co pozwala na wykorzystanie nieprawidłowo skonfigurowanych poziomów kontroli dostępu. Problem ten dotyczy wersji GeoDirectory od n/a do 2.8.157.
W OpenSC w wersjach do 0.26.1 znaleziono lukę w funkcji test_kpgen_certwrite w pliku src/tools/pkcs11-tool.c modułu generowania kluczy pkcs11-tool. Luka ta prowadzi do przepełnienia bufora, co może być wykorzystane zdalnie.
Wykryto podatność w indrasishbanerjee aem-mcp-server do wersji b5f833aef9b5dfd17a5991b3b18a8a11edbdc583, która dotyczy funkcji getAssetMetadata w pliku src/mcp-server.ts komponentu Axios Request Flow. Manipulacja argumentem assetPath może prowadzić do ataku typu server-side request forgery, który można przeprowadzić zdalnie.
W systemie zarządzania studentami a4m4 do wersji f0c5f6842c5e8c431ff02b5260a565ca844df3a0 zidentyfikowano podatność w nieznanej funkcji pliku admin/deleteform.php. Manipulacja argumentem sid prowadzi do niewłaściwej autoryzacji, co umożliwia zdalne przeprowadzenie ataku.
W systemie zarządzania studentami a4m4 do wersji f0c5f6842c5e8c431ff02b5260a565ca844df3a0 zidentyfikowano lukę w nieznanej funkcji pliku admin/ w komponencie Admin Endpoint. Manipulacja argumentem uid prowadzi do wykonania kodu po przekierowaniu, co umożliwia zdalne przeprowadzenie ataku.
Wykryto podatność w decolua 9router do wersji 0.4.0, która dotyczy funkcji isAuthenticated w pliku src/dashboardGuard.js komponentu HTTP Header Handler. Manipulacja argumentem Host prowadzi do niewłaściwej autoryzacji, co umożliwia zdalny atak.
LMS do wersji 3.76.0 zawiera podatność na trwały atak XSS, umożliwiającą wykonanie dowolnego kodu JavaScript przez osadzenie złośliwego HTML w metadanych plików multimedialnych (np. GENRE, ARTIST, ALBUM). Atakujący może wprowadzić spreparowany plik do biblioteki ofiary, a ładunek zostanie zapisany podczas skanowania i automatycznie wykonany w interfejsie webowym z powodu renderowania treści znaczników bez sanityzacji.
W OpenShift Container Platform znaleziono lukę, która pozwala na generowanie dużej liczby zdarzeń przez nieuprzywilejowanego użytkownika. Użytkownik ten może tworzyć pody w przestrzeni nazw, co prowadzi do degradacji wydajności serwera API w całym klastrze.

