Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.13)

CVE-2026-41047
Średnie

W qSnapper przed wersją 1.3.3 brak uwierzytelnienia w funkcjach "snapshot diff" umożliwiał lokalnemu atakującemu odczytanie informacji chronionych przed odczytem.

CVE-2026-41046
Wysokie

Podatność typu path traversal w qSnapper przed wersją 1.3.3 umożliwia lokalnemu atakującemu użycie złośliwych plików konfiguracyjnych snappera poprzez parametr "configName". Może to prowadzić do odmowy usługi lub potencjalnej eskalacji uprawnień do roota.

CVE-2026-41045
Wysokie

Podatność typu TOCTOU (time-to-check-time-of-use) w mechanizmie uwierzytelniania polkit w qSnapper przed wersją 1.3.3 umożliwia lokalnemu atakującemu ominięcie uwierzytelniania i działanie z uprawnieniami roota.

CVE-2026-12725
Średnie

W dnsmasq odkryto przepełnienie bufora sterty. Gdy włączona jest walidacja DNSSEC i logowanie zapytań, logowanie odpowiedzi DS lub DNSKEY zawierających nieobsługiwane typy algorytmów lub skrótów może spowodować zapis poza koniec wewnętrznego bufora logowania. Zdalny atakujący może dostarczyć taką odpowiedź DNS, powodując awarię procesu dnsmasq i odmowę usługi.

CVE-2026-12628
Krytyczne

IBM Storage Protect Client 8.1.0.0 do 8.2.1.0 oraz IBM Storage Protect Snapshot For Windows 8.1.0.0 do 8.2.1.0 zawierają zakodowane na stałe poświadczenie w mechanizmie uwierzytelniania FlashCopy Manager (FCM). Umożliwia to zdalnemu atakującemu ominięcie uwierzytelnienia i uzyskanie nieautoryzowanego dostępu do chronionych usług.

CVE-2026-12549
Średnie

Poprawka dla CVE-2026-2443 została cofnięta przez późniejszy commit, który zastąpił konkretne kontrole przepełnienia ogólnym porównaniem ze znakiem. Gdy klient wysyła żądanie Range z długością sufiksu przekraczającą rozmiar treści, wynikowa ujemna wartość początkowa nie jest odpowiednio ograniczana, co prowadzi do nieprawidłowych odpowiedzi HTTP 206 i zalewania logów.

CVE-2026-12479
Średnie

W wersji 3.14.0 biblioteki Keras występuje podatność na traversję ścieżki, związana z metodą `DiskIOStore.make`. Problem wynika z niewłaściwego przetwarzania nazw warstw dostarczanych przez użytkownika, co pozwala na nieautoryzowane operacje na systemie plików.

CVE-2026-11943
Średnie

Akaunting w wersji 3.1.21 zawiera podatność na przechowywane ataki XSS w dokumentach na stronach szczegółowych faktur i rachunków. Użytkownik z autoryzacją może zapisać kod HTML/JavaScript w swoim imieniu profilu.

CVE-2026-11942
Średnie

Akaunting 3.1.21 zawiera podatność na uwierzytelnione, przechowywane ataki typu cross-site scripting w procesie potwierdzania usunięcia. Użytkownik z uprawnieniami do tworzenia lub modyfikowania rekordów, takich jak przedmioty, może przechowywać HTML/JavaScript w nazwie rekordu.

CVE-2026-11372
Średnie

IBM TRIRIGA Application Platform w wersjach od 5.0.2 do 5.0.3 jest podatna na atak typu cross-site scripting (XSS). Uwierzytelniony użytkownik może osadzić dowolny kod JavaScript w interfejsie webowym, co może prowadzić do ujawnienia danych uwierzytelniających w zaufanej sesji.

CVE-2026-10845
Wysokie

IBM WebSphere Application Server w wersjach 8.5 i 9.0 może umożliwić zdalnemu atakującemu ominięcie uwierzytelniania i uzyskanie nieautoryzowanego dostępu do aplikacji JAX-WS.

CVE-2024-51454
Średnie

IBM Engineering Workflow Management w wersjach 7.0.2 do 7.0.2 Interim Fix 035, 7.0.3 do 7.0.3 Interim Fix 017 oraz 7.1 do 7.1 Interim Fix 004 jest podatny na wstrzykiwanie nagłówków HTTP z powodu nieprawidłowej walidacji danych wejściowych w nagłówkach HOST. Może to umożliwić atakującemu przeprowadzenie różnych ataków na podatny system, w tym cross-site scripting, zatruwanie pamięci podręcznej lub przejęcie sesji.

CVE-2023-33854
Średnie

Podatność w IBM Db2 na Cloud Pak for Data oraz Db2 Warehouse na Cloud Pak for Data w wersjach 4.8, 5.0, 5.1, 5.2 i 5.3 umożliwia uwierzytelnionemu użytkownikowi ominięcie walidacji po stronie klienta i manipulację danymi wejściowymi przy użyciu technik man-in-the-middle.

CVE-2026-9162
Średnie

Wersje Mattermost 11.7.x do 11.7.0, 11.6.x do 11.6.2, 11.5.x do 11.5.5 oraz 10.11.x do 10.11.17 nie unieważniają pamięci podręcznej stanu uwierzytelnienia dla aktywnych połączeń WebSocket podczas globalnej revokacji sesji. Umożliwia to użytkownikowi z istniejącym połączeniem WebSocket pozostanie uwierzytelnionym i kontynuowanie odbierania zdarzeń w czasie rzeczywistym, aż do wygaśnięcia pamięci podręcznej sesji lub ponownego połączenia klienta.

CVE-2026-9029
Wysokie

Podatność w panelu Geomap w Grafanie umożliwia użytkownikowi z uprawnieniami edytora wstrzyknięcie złośliwego skryptu do pola atrybucji warstwy kafelków XYZ za pomocą zmiennej szablonu. Skrypt wykonuje się w przeglądarce każdego użytkownika przeglądającego zmodyfikowany dashboard (trwałe cross-site scripting).

CVE-2026-8074
Niskie

Wersje Mattermost 11.7.x do 11.7.0 oraz 10.11.x do 10.11.17 nie egzekwują kontroli uprawnień specyficznych dla botów na końcowym punkcie aktywności użytkownika. Umożliwia to Menedżerowi Użytkowników z dostępem do zarządzania użytkownikami, ale bez dostępu do Integracji, dezaktywację kont botów za pomocą punktu końcowego PUT /api/v4/users/{id}/active.

CVE-2026-7167
Średnie

Podatność występuje, gdy system nieprawidłowo weryfikuje pole 'email' podczas procesu uwierzytelniania, co pozwala na akceptację niezweryfikowanych lub fałszywych adresów e-mail. To umożliwia tworzenie kont użytkowników z fałszywymi adresami e-mail, co sprzyja masowemu tworzeniu oszukańczych kont.

CVE-2026-7166
Krytyczne

Podatność polega na ujawnieniu wrażliwych danych, takich jak adresy e-mail i numery telefonów, bez odpowiedniej ochrony. Wrażliwe informacje są również dostępne w lokalnej bazie danych, w tym dane dotyczące nieletnich oraz użytkowników miejskich.

CVE-2026-7165
Krytyczne

Podatność występuje w punkcie końcowym '/addJugador', gdzie parametry 'keyJugador' i 'keyJugadorObjectiu' umożliwiają modyfikację informacji innych użytkowników bez weryfikacji autoryzacji. Dodatkowo, pola 'punts' i 'numObjectiusEliminats' pozwalają na dodawanie dowolnych danych, co może prowadzić do oszustw związanych z nagrodami.

CVE-2026-6673
Średnie

Wersje Mattermost 11.7.x do 11.7.0, 11.6.x do 11.6.2, 11.5.x do 11.5.5 oraz 10.11.x do 10.11.17 nie autoryzują zainstalowanych callbacków Atlassian Connect, co pozwala zdalnemu, nieautoryzowanemu atakującemu na wstrzyknięcie fałszywego sharedSecret i zakłócenie integracji z Jira.

PoprzedniaStrona 230 z 4549Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS