Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-12045
Krytyczne

Podatność w asystencie AI pgAdmin 4 umożliwia atakującemu, który może wpływać na treść odczytywaną przez asystenta, wykonanie dowolnego SQL z uprawnieniami roli użytkownika pgAdmin. Luka wynika z braku walidacji zapytań generowanych przez LLM, co pozwala na ominięcie trybu tylko do odczytu poprzez wstrzyknięcie poleceń takich jak COMMIT czy ROLLBACK.

CVE-2026-54130
Krytyczne

Brak uwierzytelnienia dla krytycznej funkcji w M365 Copilot umożliwia nieautoryzowanemu atakującemu ujawnienie informacji w sieci.

CVE-2026-47647
Krytyczne

Nieprawidłowa kontrola dostępu w Microsoft Dynamics 365 umożliwia autoryzowanemu atakującemu podniesienie uprawnień w sieci.

CVE-2026-49454
Krytyczne

Biblioteka Relyra, będąca dostawcą usług SAML 2.0 dla Elixir i Phoenix, w wersjach 1.0.0 i 1.1.0 akceptowała fałszywe podpisy SAML z powodu braku kryptograficznej weryfikacji SignatureValue przed zwróceniem pozytywnego wyniku autoryzacji. Problem ten został naprawiony w wersji 1.2.0.

CVE-2026-49257
Krytyczne

mcp-pinot to serwer Model Context Protocol (MCP) oparty na Pythonie, który w wersjach 3.0.1 i poniżej domyślnie uruchamia serwer HTTP MCP bez włączonej autoryzacji. Wszystkie narzędzia MCP są dostępne dla każdego użytkownika w sieci, co prowadzi do poważnych luk w zabezpieczeniach.

CVE-2026-49252
Krytyczne

Deepstream to serwer umożliwiający synchronizację danych, wysyłanie wiadomości i wykonywanie RPC na dużą skalę. Wersje przed 10.0.5 są podatne na zanieczyszczenie prototypu, co może prowadzić do eskalacji uprawnień przez każdego uwierzytelnionego użytkownika z uprawnieniami do zapisu.

CVE-2026-47846
Krytyczne

Obrazy kontenerów Bitnami Cassandra są podatne na lukę związaną z zachowaniem domyślnego superużytkownika. W przypadku skonfigurowania niestandardowego konta administratora za pomocą zmiennej środowiskowej CASSANDRA_USER, skrypt inicjalizacji kontenera tworzy nowe konto superużytkownika, ale nie usuwa wbudowanego konta cassandra w określonych scenariuszach.

CVE-2026-54390
Krytyczne

Wersje JTL Shop od 5.2.0 do 5.7.1 zawierają podatność na wstrzykiwanie szablonów po stronie serwera, która pozwala nieautoryzowanym atakującym na wstrzykiwanie złośliwej składni szablonów z powodu niesanitowanych danych wejściowych użytkownika przekazywanych do silnika szablonów Smarty.

CVE-2026-54103
Krytyczne

Systemy EPDS i EDS nie weryfikują żądań zmiany hasła w punkcie końcowym API '/update-profile/N'. Zdalny, nieautoryzowany atakujący może zmienić hasło dowolnego użytkownika.

CVE-2026-38717
Krytyczne

W urządzeniach InHand Networks IR912 V1.0.0.r20042 oraz IR915 V1.0.0.r20042 (w tym wcześniejszych wersjach) odkryto podatność na wstrzykiwanie poleceń w funkcji przesyłania plików. Podatność ta umożliwia zdalnym atakującym wykonywanie dowolnych poleceń jako root za pomocą odpowiednio przygotowanego wejścia.

CVE-2026-38716
Krytyczne

W urządzeniach InHand Networks IR912 V1.0.0.r20042 i IR915 V1.0.0.r20042 (w tym wcześniejszych wersjach) odkryto podatność na wstrzykiwanie poleceń w funkcji eksportu aplikacji Python. Ta podatność umożliwia zdalnym atakującym wykonywanie dowolnych poleceń jako root za pomocą odpowiednio przygotowanego wejścia.

CVE-2026-38715
Krytyczne

W urządzeniach InHand Networks IR912 V1.0.0.r20042 oraz IR915 V1.0.0.r20042 (w tym wcześniejszych wersjach) odkryto podatność na wstrzykiwanie poleceń w funkcji przeglądania logów. Ta podatność umożliwia zdalnym atakującym wykonywanie dowolnych poleceń jako root za pomocą odpowiednio przygotowanego wejścia.

CVE-2026-38714
Krytyczne

W urządzeniach InHand Networks IR912 V1.0.0.r20042 oraz IR915 V1.0.0.r20042 (w tym wcześniejszych wersjach) odkryto podatność na wstrzykiwanie poleceń w funkcji konfiguracji Pythona. Ta podatność umożliwia zdalnym atakującym wykonywanie dowolnych poleceń jako root za pomocą odpowiednio przygotowanego wejścia.

CVE-2026-9158
Krytyczne

W Eclipse 4diac FORTE w wersjach od 3.0.0 do 3.1.0, specjalnie spreparowane polecenie DELETE connection wysłane do interfejsu zarządzania może prowadzić do powstania wiszącego wskaźnika. Umożliwia to kolejnym poleceniom dostęp do zwolnionej pamięci (use-after-free).

CVE-2026-8024
Krytyczne

W systemach ibaPDA lub ibaDatCoordinator występuje podatność na deserializację niezaufanych danych, która może być wykorzystana przez zdalnego, nieautoryzowanego atakującego do uzyskania pełnego dostępu do systemów.

CVE-2026-54419
Krytyczne

System zarządzania hotelami PIAF-HMS zawiera wiele podatności na nieautoryzowane wstrzyknięcia SQL. Aplikacja nie posiada mechanizmu uwierzytelniania i bezpośrednio przekazuje parametry HTTP od użytkownika do przestarzałych wywołań mysql_query() bez sanitizacji.

CVE-2026-11718
Krytyczne

Występuje luka w omijaniu uwierzytelniania w walidacji tokenów opakowanych w bibliotece googleapis/mcp-toolbox. Luka ta pozwala na akceptację tokenów wydanych przez nieautoryzowanych dostawców tożsamości, gdy odpowiedź z zewnętrznego dostawcy OAuth nie zawiera pola 'iss'.

CVE-2026-11717
Krytyczne

Występuje luka w autoryzacji w narzędziu googleapis/mcp-toolbox, która pozwala na obejście uwierzytelnienia. Problem dotyczy walidacji tokenów opakowanych, gdzie brak klucza 'active' w odpowiedzi z punktu introspekcji OAuth 2.0 skutkuje akceptacją tokenów, które nie powinny być uznawane za ważne.

CVE-2025-10560
Krytyczne

Worksnaps przed wersją 1.6.20260201 zawiera twardo zakodowane dane uwierzytelniające do chmury oraz związane z nimi tajne materiały w binariach aplikacji klienckiej. Ujawnione dane uwierzytelniające obejmowały klucze dostępu AWS oraz nazwy bucketów S3.

CVE-2026-55742
Krytyczne

Cotonti 1.0.0 jest podatny na atak Cross-Site Request Forgery (CSRF) w obsłudze praw administracyjnych. Akcja aktualizacji praw ('a=update') w pliku system/admin/admin.rights.php nie weryfikuje tokenu anty-CSRF, co pozwala zdalnemu atakującemu na przyznanie podwyższonych uprawnień grupie kontrolowanej przez atakującego.

PoprzedniaStrona 25 z 557Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS