Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-44087
Krytyczne

W podatności CVE-2026-44087 w Apache APISIX występuje niewystarczająca weryfikacja autentyczności danych wtyczki openid-connect, co umożliwia atakującemu fałszowanie nagłówków tożsamości.

CVE-2026-39999
Krytyczne

Podatność na obejście uwierzytelnienia poprzez spoofing w Apache APISIX pozwala atakującemu na całkowite ominięcie procesu uwierzytelniania, wykorzystując określone konfiguracje wtyczki jwt-auth. Problem dotyczy wersji Apache APISIX od v2.2 do v3.16.0.

CVE-2025-62821
KrytyczneEPSS 53%

Podatność w rozszerzeniach obrazów HEIF firmy Microsoft (wersja 1.2.22.0) wynika z błędu odczytu poza dozwolonym zakresem. Funkcja CHEIFItemInfoEntry_GetDataSize może zwrócić sukces, pozostawiając rozmiar danych jako 0, co prowadzi do alokacji tylko 1 bajta. Następnie funkcja CopyPixels oblicza rozmiar kopii na podstawie stride i wysokości, ale nie sprawdza długości bufora źródłowego przed wywołaniem memmove.

CVE-2026-56142
Krytyczne

W JetBrains Hub przed wersjami 2026.1.13757, 2025.3.148033, 2025.2.148048, 2025.1.148120, 2024.3.148430 i 2024.2.148429 istniała podatność umożliwiająca eskalację uprawnień poprzez dołączanie szczegółów uwierzytelniania do kont.

CVE-2026-56141
Krytyczne

W JetBrains Hub przed wersjami 2026.1.13757, 2025.3.148033, 2025.2.148048, 2025.1.148120, 2024.3.148430 i 2024.2.148429 możliwe było przejęcie konta poprzez przewidywalne kody przywracania.

CVE-2026-50242
Krytyczne

W JetBrains Hub przed wersjami 2026.1.13757, 2025.3.148033, 2025.2.148048, 2025.1.148120, 2024.3.148430 i 2024.2.148429 możliwe było ominięcie uwierzytelniania poprzez bezpośredni dostęp do bazy danych, co prowadziło do uzyskania dostępu administracyjnego.

CVE-2026-44939
KrytyczneEPSS 62%

W podatności CVE-2026-44939 występuje możliwość wstrzyknięcia poleceń w interfejsie importu Rancher Manager przed wersją 2.14.2, co może prowadzić do wykonania złośliwych kontenerów.

CVE-2026-8713
Krytyczne

Wtyczka Avada (Fusion) Builder dla WordPressa jest podatna na usuwanie dowolnych plików z powodu niewystarczającej walidacji ścieżek plików w funkcji maybe_delete_files we wszystkich wersjach do 3.15.3 włącznie. Atakujący bez uwierzytelnienia może usunąć dowolne pliki na serwerze, co może prowadzić do zdalnego wykonania kodu.

CVE-2026-7515
KrytyczneEPSS 55%

Wtyczka BetterDocs Pro dla WordPressa jest podatna na atak Local File Inclusion w wersjach do 3.8.0 włącznie, poprzez parametr `doc_style`. Umożliwia to nieautoryzowanym atakującym dołączanie i wykonywanie dowolnych plików .php na serwerze.

CVE-2026-54414
Krytyczne

FileRise w wersjach przed 3.16.0 jest podatny na atak typu path traversal w punkcie końcowym przesyłania do folderu udostępnionego, co prowadzi do możliwości zapisu dowolnych plików oraz przejęcia konta administratora. Atakujący może wykorzystać ważny link/token do przesyłania plików, aby nadpisać pliki i uzyskać dostęp do konta administratora.

CVE-2026-40624
Krytyczne

Nieprawidłowa walidacja danych wejściowych w kamerach AVer PTC500S, PTC115, PTC500+ i PTC115+ może umożliwić zdalnemu, nieautoryzowanemu atakującemu wykonanie dowolnego kodu za pomocą specjalnie przygotowanego żądania sieciowego.

CVE-2026-12048
Krytyczne

W pgAdmin 4 w wersjach od 6.0 do 9.15 wykryto podatność na trwałe ataki XSS. Tekst zwracany przez serwer PostgreSQL (np. nazwy obiektów w błędach czy pola EXPLAIN) był przekazywany bezpośrednio do html-react-parser, co pozwalało na wstrzyknięcie dowolnego HTML, w tym ramek iframe. Atakujący może kontrolować serwer lub stworzyć obiekt o złośliwej nazwie, co prowadzi do przejęcia sesji użytkownika pgAdmin.

CVE-2026-12046
Krytyczne

W pgAdmin 4 w wersjach od 6.9 do 9.15 brakuje dekoratora uwierzytelniania na dwóch endpointach SQL Editor, co pozwala nieuwierzytelnionym atakującym na wywołanie deserializacji pickle z sesji serwera. Luka wymaga jednak dodatkowych warunków (znajomość SECRET_KEY i dostęp do katalogu sesji), aby doprowadzić do zdalnego wykonania kodu.

CVE-2026-12045
Krytyczne

Podatność w asystencie AI pgAdmin 4 umożliwia atakującemu, który może wpływać na treść odczytywaną przez asystenta, wykonanie dowolnego SQL z uprawnieniami roli użytkownika pgAdmin. Luka wynika z braku walidacji zapytań generowanych przez LLM, co pozwala na ominięcie trybu tylko do odczytu poprzez wstrzyknięcie poleceń takich jak COMMIT czy ROLLBACK.

CVE-2026-54130
Krytyczne

Brak uwierzytelnienia dla krytycznej funkcji w M365 Copilot umożliwia nieautoryzowanemu atakującemu ujawnienie informacji w sieci.

CVE-2026-47647
Krytyczne

Nieprawidłowa kontrola dostępu w Microsoft Dynamics 365 umożliwia autoryzowanemu atakującemu podniesienie uprawnień w sieci.

CVE-2026-49454
Krytyczne

Biblioteka Relyra, będąca dostawcą usług SAML 2.0 dla Elixir i Phoenix, w wersjach 1.0.0 i 1.1.0 akceptowała fałszywe podpisy SAML z powodu braku kryptograficznej weryfikacji SignatureValue przed zwróceniem pozytywnego wyniku autoryzacji. Problem ten został naprawiony w wersji 1.2.0.

CVE-2026-49257
Krytyczne

mcp-pinot to serwer Model Context Protocol (MCP) oparty na Pythonie, który w wersjach 3.0.1 i poniżej domyślnie uruchamia serwer HTTP MCP bez włączonej autoryzacji. Wszystkie narzędzia MCP są dostępne dla każdego użytkownika w sieci, co prowadzi do poważnych luk w zabezpieczeniach.

CVE-2026-49252
Krytyczne

Deepstream to serwer umożliwiający synchronizację danych, wysyłanie wiadomości i wykonywanie RPC na dużą skalę. Wersje przed 10.0.5 są podatne na zanieczyszczenie prototypu, co może prowadzić do eskalacji uprawnień przez każdego uwierzytelnionego użytkownika z uprawnieniami do zapisu.

CVE-2026-47846
Krytyczne

Obrazy kontenerów Bitnami Cassandra są podatne na lukę związaną z zachowaniem domyślnego superużytkownika. W przypadku skonfigurowania niestandardowego konta administratora za pomocą zmiennej środowiskowej CASSANDRA_USER, skrypt inicjalizacji kontenera tworzy nowe konto superużytkownika, ale nie usuwa wbudowanego konta cassandra w określonych scenariuszach.

PoprzedniaStrona 24 z 556Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS