Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.14)

CVE-2026-56411
Średnie

W bibliotece libexpat przed wersją 2.8.2 występuje przepełnienie całkowite w funkcji xmlwf, które może wystąpić podczas przetwarzania deklaracji NOTATION w endDoctypeDecl.

CVE-2026-56410
Średnie

W bibliotece libexpat przed wersją 2.8.2 występuje przepełnienie całkowite w funkcji resolveSystemId, co może prowadzić do nieprzewidzianych zachowań aplikacji.

CVE-2026-56409
Średnie

W bibliotece libexpat przed wersją 2.8.2 występuje przepełnienie całkowite dla nazwy pliku wyjściowego, gdy używana jest opcja -d outputDir.

CVE-2026-56408
Średnie

W bibliotece libexpat przed wersją 2.8.2 występuje przepełnienie całkowite w funkcji copyString.

CVE-2026-56407
Średnie

W bibliotece libexpat przed wersją 2.8.2 występuje przepełnienie całkowite w funkcji doProlog, które jest związane z funkcjami storeEntityValue oraz entity textLen.

CVE-2026-56406
Średnie

W bibliotece libexpat przed wersją 2.8.2 występuje przepełnienie całkowite w funkcji XML_ParseBuffer z powodu braku odpowiedniego sprawdzenia, które było obecne w funkcji XML_Parse.

CVE-2026-56405
Średnie

W bibliotece libexpat przed wersją 2.8.2 występuje przepełnienie całkowite w funkcji getAttributeId.

CVE-2026-56404
Średnie

W wersjach libexpat przed 2.8.2 występuje przepełnienie całkowite w funkcji addBinding.

CVE-2026-56403
Średnie

W wersjach libexpat przed 2.8.2 występuje przepełnienie całkowite w funkcji storeAtts.

CVE-2026-56397
Krytyczne

SiYuan w wersjach przed 3.6.1 nie sanitizuje metadanych pakietów oraz treści README w rynku Bazaar, co pozwala złośliwym autorom pakietów na wstrzykiwanie dowolnego HTML i JavaScript.

CVE-2026-56396
Wysokie

phpMyFAQ w wersjach przed 4.1.4 zawiera luki w autoryzacji w punktach końcowych editUser() i updateUserRights(), które pozwalają uwierzytelnionym administratorom na eskalację uprawnień. Użytkownicy, którzy nie są SuperAdminami, ale mają uprawnienia edit_user, mogą ustawić flagę is_superadmin lub przyznać dowolne uprawnienia, co prowadzi do uzyskania dostępu SuperAdmina.

CVE-2026-56395
Krytyczne

SiYuan przed wersją 3.6.1 nie sanitizuje metadanych pakietów oraz treści README w rynku Bazaar, co pozwala złośliwym autorom pakietów na wstrzykiwanie dowolnego HTML i JavaScript. Atakujący mogą uzyskać zdalne wykonanie kodu na każdym użytkowniku przeglądającym Bazaar, osadzając ładunki XSS w polach displayName, opisu lub README.

CVE-2026-56394
Średnie

Craft CMS w wersji 4.0.0-RC1 zawiera podatność na przejście ścieżki weryfikacji uwierzytelnionej w punkcie końcowym assets/icon, gdzie parametr rozszerzenia nie jest weryfikowany przed sprawdzeniem istnienia pliku. Atakujący mogą obejść walidację rozszerzenia, przekazując sekwencje przejścia, które prowadzą do istniejących plików SVG, co umożliwia dostęp do lokalnych plików.

CVE-2026-56393
Średnie

Craft CMS w wersjach 4.x (>= 4.0.0-RC1, < 4.17.0-beta.1) oraz 5.x (>= 5.0.0-RC1, < 5.9.0-beta.1) zawiera wiele podatności na przechowywane ataki typu cross-site scripting, gdzie nazwy ustawień i etykiety opcji pól są renderowane bez sanitizacji. Uwierzytelniony administrator może wstrzykiwać złośliwe ładunki do nazw sekcji, nazw woluminów, nazw grup użytkowników, nazw zestawów globalnych, generowanych nazw pól, etykiet opcji checkbox/radio oraz etykiet źródłowych, co prowadzi do wykonania dowolnego JavaScriptu w sesjach panelu kontrolnego innych użytkowników.

CVE-2026-56385
Średnie

W wersjach Craft CMS >= 5.0.0-RC1, <= 5.9.13 oraz >= 4.0.0-RC1, <= 4.17.7 występuje luka w autoryzacji w punkcie końcowym assets/preview-file. Luka ta pozwala na ominięcie autoryzacji przeglądania zasobów przez użytkowników o niskich uprawnieniach.

CVE-2026-56384
Średnie

Craft CMS zawiera lukę w autoryzacji w punkcie końcowym assets/preview-thumb. Użytkownik Panelu Sterowania bez uprawnień do przeglądania prywatnego zasobu może wywołać ten punkt końcowy z kontrolowanym przez atakującego assetId i otrzymać HTML podglądu zawierający podpisany link do podglądu transformacji prywatnego zasobu.

CVE-2026-56383
Średnie

Craft CMS zawiera podatność na przechowywane ataki XSS w komponencie editableTable.twig, gdy używany jest typ kolumny 'Row Heading'. Aplikacja nie sanitizuje danych wejściowych w domyślnych wartościach nagłówków wierszy, co pozwala atakującemu z kontem administratora na wstrzyknięcie dowolnego kodu JavaScript.

CVE-2026-56382
Wysokie

Craft CMS w wersjach od 5.5.0 do 5.9.13 zawiera podatność na zdalne wykonanie kodu w metodzie FieldsController::actionRenderCardPreview(). Umożliwia to uwierzytelnionemu użytkownikowi adminowi wstrzyknięcie handlerów zdarzeń Yii2, co prowadzi do wykonania dowolnego kodu PHP i ujawnienia wrażliwych informacji.

CVE-2026-56381
Średnie

Craft CMS od wersji 5.0.0-RC1 zawiera podatność na przechowywane ataki typu cross-site scripting na stronie uprawnień użytkowników, gdzie nazwy grup użytkowników są renderowane bez odpowiedniego zabezpieczenia HTML. Atakujący z dostępem administratora mogą wstrzykiwać dowolny kod JavaScript przez pole nazwy grupy użytkowników, który wykonuje się, gdy inni użytkownicy przeglądają lub edytują uprawnienia.

CVE-2026-56378
Niskie

Podatność w ImageMagick przed wersją 7.1.2-15 (oraz 6.x przed 6.9.13-40) powoduje odczyt poza dozwolonym obszarem sterty w pętli DecodeImage kodera PCD. Specjalnie spreparowany plik PCD może wywołać jednobajtowy odczyt poza stertą podczas dekodowania obrazu, prowadząc do odmowy usługi i potencjalnego ujawnienia sąsiedniego bajtu sterty.

PoprzedniaStrona 252 z 4509Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS