Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.15)

CVE-2026-48584
Krytyczne

Podatność w Azure Synapse umożliwia wykonanie operacji z niepotrzebnie podwyższonymi uprawnieniami. Autoryzowany atakujący może zdalnie eskalować swoje uprawnienia w sieci.

CVE-2026-48582
Krytyczne

Brak autoryzacji w Microsoft Exchange Online umożliwia autoryzowanemu atakującemu podniesienie uprawnień w sieci.

CVE-2026-48129
Średnie

Kestra to platforma orkiestracji oparta na zdarzeniach, która przed wersjami 1.3.19, 1.2.19, 1.1.19 i 1.0.43 miała problem z zadaniem `inputFiles`. Umożliwiało to zapisanie nazw plików bezpośrednio w katalogu roboczym zadania, co mogło prowadzić do nadpisania plików poza tym katalogiem.

CVE-2026-47645
Wysokie

Podatność w Microsoft 365 Copilot Business Chat umożliwia nieautoryzowanemu atakującemu przekierowanie użytkownika na zewnętrzną, niezaufaną stronę (open redirect), co może prowadzić do eskalacji uprawnień w sieci.

CVE-2026-47203
Niskie

Wersje Authelia od 4.38.0 do 4.39.19 mają problem z obsługą wielkości liter w nazwach użytkowników podczas uwierzytelniania przez Basic Auth. W wyniku tego, różne warianty wielkości liter mogą prowadzić do tworzenia oddzielnych bucketów banów dla tego samego użytkownika.

CVE-2026-45480
Krytyczne

Nieprawidłowa autoryzacja w Azure Active Directory umożliwia nieautoryzowanemu atakującemu podniesienie uprawnień w sieci.

CVE-2026-42895
Średnie

Podatność w Microsoft Copilot umożliwia nieautoryzowanemu atakującemu wykonanie wstrzyknięcia poleceń przez sieć. Problem wynika z nieprawidłowej neutralizacji specjalnych elementów w poleceniach.

CVE-2026-32208
Wysokie

Podatność typu Cross-Site Scripting (XSS) w Microsoft Entra ID umożliwia autoryzowanemu atakującemu przeprowadzenie ataku polegającego na fałszowaniu treści w sieci. Luka wynika z nieprawidłowej neutralizacji danych wejściowych podczas generowania stron internetowych.

CVE-2026-49345
Średnie

W aplikacji Mercator przed wersją 2025.05.19 występuje podatność typu Server-Side Request Forgery (SSRF) w panelu konfiguracyjnym CVE. Metoda `testProvider()` w `ConfigurationController` nie waliduje danych wejściowych użytkownika, co pozwala na wymuszanie dowolnych żądań sieciowych przez uwierzytelnionego użytkownika z odpowiednimi uprawnieniami.

CVE-2026-49344
Wysokie

Mercator to aplikacja webowa, która przed wersją 2025.05.19 miała lukę w silniku zapytań, umożliwiającą autoryzowanym użytkownikom, w tym rolom z ograniczonym dostępem, wykonywanie zapytań do modeli poza ich zakresem. Dodatkowo, kolumna `password`, mimo że oznaczona jako `$hidden`, mogła być używana w warunkach `LIKE` w filtrach.

CVE-2026-49342
Średnie

YARD to narzędzie do generowania dokumentacji dla języka Ruby. W wersjach przed 0.9.44, statyczne wyszukiwanie w pamięci podręcznej YARD odczytuje ścieżkę żądania przed oczyszczeniem ścieżki przez router, co może prowadzić do ujawnienia plików HTML poza zamierzonym drzewem statycznym.

CVE-2026-48787
Wysokie

W wersji 2.9.1 platformy gin-vue-admin, uwierzytelniony atakujący z dostępem do funkcji generowania kodu i interfejsu zarządzania MCP może wykorzystać tę podatność do wstrzyknięcia kontrolowanego przez siebie kodu źródłowego Go, co prowadzi do wykonania dowolnych poleceń systemowych na serwerze.

CVE-2026-48774
Wysokie

W wersjach 3.0.0 do 3.0.8 narzędzie `run_sql_readonly` w ProxySQL narusza umowę o odczycie tylko w przypadku celów MySQL, umożliwiając wykonanie poleceń modyfikujących dane. Użytkownik może przesłać pierwsze zapytanie odczytowe, a następnie drugie, które powoduje skutki uboczne, takie jak `RENAME TABLE`.

CVE-2026-48773
Krytyczne

ProxySQL, będący proxy dla MySQL i PostgreSQL, ma podatność na uszkodzenie pamięci w stercie przed uwierzytelnieniem w wersjach od 2.0.18 do 3.0.8. Zdalny, nieautoryzowany klient może zadeklarować zbyt dużą długość pierwszego pakietu, co prowadzi do potencjalnego wykorzystania tej luki.

CVE-2026-48772
Krytyczne

ProxySQL w wersjach od 2.0.0 do 3.0.8 akceptuje niepoprawnie sformatowany nagłówek protokołu PROXY, co pozwala atakującym na fałszowanie adresów źródłowych. To prowadzi do obejścia reguł routingu i kontroli dostępu, umożliwiając atakującym manipulację zapytaniami jako zaufany użytkownik.

CVE-2026-48715
Wysokie

W narzędziu `radvdump` dostarczanym z radvd przed wersją 2.21 występuje przepełnienie bufora stosu w parserze opcji informacji o trasie. Podczas przetwarzania spreparowanego komunikatu ICMPv6 Router Advertisement funkcja `print_ff()` kopiuje do 2032 bajtów danych kontrolowanych przez atakującego do 16-bajtowej struktury `struct in6_addr` na stosie, powodując przepełnienie o maksymalnie 2016 bajtów. Główny demon `radvd` nie jest podatny na tę lukę.

CVE-2026-48089
Wysokie

DevGuard przed wersją 1.4.2 pozwala na nieautoryzowane modyfikacje reguł VEX przez uwierzytelnionych użytkowników, w tym tych z innych organizacji, na publicznych zasobach. Użytkownicy mogą tworzyć, aktualizować, ponownie stosować i usuwać reguły VEX oraz inne powiązane zdarzenia związane z podatnościami.

CVE-2026-9375
Wysokie

Wersja 2.6.3 biblioteki urllib3 jest podatna na obejście bomby dekompresyjnej w swoim API strumieniowym (`preload_content=False`) przy użyciu wsparcia dla Brotli. Problem wynika z trzech niezależnych ścieżek kodu, które omijają ochronę `max_length`, co pozwala na wywołanie stanu braku pamięci (OOM) przez złośliwy serwer HTTP.

CVE-2026-49340
Wysokie

W gonic, serwerze strumieniowania muzyki, przed wersją 0.21.0 występuje błąd logiczny w funkcji `ServeCreateOrUpdatePlaylist`, który pozwala każdemu uwierzytelnionemu użytkownikowi Subsonic (w tym nie-administratorom) na zapisanie zawartości playlisty M3U w kontrolowanej przez atakującego absolutnej ścieżce systemu plików na hoście gonic.

CVE-2026-49339
Wysokie

Gonic, serwer strumieniowania muzyki, ma lukę, która pozwala uwierzytelnionym użytkownikom Subsonic na obejście kontroli własności playlisty. Użytkownicy mogą odczytywać i usuwać playlisty innych użytkowników oraz sprawdzać istnienie dowolnych ścieżek plików na serwerze.

PoprzedniaStrona 256 z 4501Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS