Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.16)

CVE-2026-40711
Wysokie

Podatność typu OS Command Injection w modułach Dell Container Storage Modules (csi-powerstore, csi-unity, csi-powerflex, csi-powermax w wersji 2.16.0) pozwala wysoko uprzywilejowanemu atakującemu z dostępem zdalnym na wykonanie dowolnych poleceń systemu operacyjnego.

CVE-2025-64152
Krytyczne

W Apache IoTDB wykryto podatność na path traversal, umożliwiającą dostęp do plików poza ograniczonym katalogiem. Problem dotyczy wersji od 1.0.0 do 1.3.5 oraz od 2.0.0 do 2.0.6.

CVE-2025-55017
Krytyczne

W Apache IoTDB wykryto podatność typu Path Traversal, która pozwala na ominięcie ograniczeń ścieżek dostępu do plików. Problem dotyczy wersji od 2.0.0 do 2.0.6 oraz od 1.0.0 do 1.3.6.

CVE-2026-57914
Średnie

Wysłanie głęboko zagnieżdżonej struktury ASN1 do klienta lub usługi Apache Kerby może spowodować wyjątek StackOverFlow, prowadzący do odmowy usługi (DoS).

CVE-2026-57620
Średnie

Wtyczka Exclusive Addons Elementor dla WordPressa zawiera podatność na trwały atak XSS (Stored Cross-Site Scripting) spowodowaną niewłaściwą neutralizacją danych wejściowych podczas generowania stron. Luka występuje we wszystkich wersjach do 2.7.9.8 włącznie.

CVE-2026-57918
Wysokie

Podatność w bibliotece libnfs do wersji 6.0.2 przed commit 935b8db powoduje niedomiar liczby całkowitej w polu xid w funkcji READ_IOVEC w pliku lib/socket.c. Problem występuje podczas połączenia ze spreparowanym serwerem NFS, gdy oczekiwany rozmiar PDU przekracza bezwzględny rozmiar PDU z xid/znacznika rekordu.

CVE-2026-57913
Wysokie

Podatność w systemie Johnson & Johnson Audit Tracking Management System (ATMS) przed wersją z 21 kwietnia 2026 roku umożliwia nieautoryzowany dostęp do protokołów i transkryptów spotkań.

CVE-2026-57912
Wysokie

Podatność w systemie rekrutacyjnym Johnson & Johnson Campus Recruiting przed 31 października 2025 roku umożliwia nieautoryzowany wgląd w dane osobowe kandydatów oraz notatki sporządzone przez rekruterów.

CVE-2026-57473
Średnie

Podatność w usługach netclient i factory w Reolink Home Hub (wersje przed v3.3.0.456_26031911) umożliwia atak brute-force na poświadczenia. Atakujący w tej samej sieci lokalnej może przechwycić ruch między Hubem a kamerami i skompromitować ich dane logowania.

CVE-2026-13325
Wysokie

W KubeVirt znaleziono poważną lukę w proxy migracji. Gdy w zasobie niestandardowym KubeVirt ustawiono `spec.configuration.migrations.disableTLS` na `true`, docelowy virt-handler uruchamia zwykły nasłuch TCP na wszystkich interfejsach (0.0.0.0/::) na losowym porcie bez uwierzytelniania, listy dozwolonych peerów ani tokena uzgadniania. Ten nasłuch proxy bezpośrednio do gniazda kontrolnego virtqemud docelowego virt-launchera.

CVE-2025-7958
Wysokie

Podatność typu Code Injection w Trellix Network Security CM i NX umożliwia lokalnie uwierzytelnionemu administratorowi wykonanie dowolnego kodu poprzez interfejs webowy i szczegóły artefaktu Alert.

CVE-2026-6658
Średnie

Podatność w jupyter/nbconvert w wersjach do 7.17.0 umożliwia atak typu Cross-site Scripting (XSS) przez niesanitowane dane wyjściowe `text/vnd.mermaid` w eksporcie HTML. Blok `data_mermaid` w szablonie `share/templates/lab/base.html.j2` renderuje zawartość komórki `text/vnd.mermaid` bezpośrednio do HTML bez odpowiedniego escapingu, co pozwala atakującemu na wstrzyknięcie dowolnego kodu HTML/JavaScript poprzez wyjście poza znacznik `<pre>`.

CVE-2026-1869
Średnie

Wtyczka User Registration & Membership dla WordPressa w wersjach do 5.2.0 zawiera podatność polegającą na braku walidacji w funkcji confirm_payment(). Umożliwia to nieuwierzytelnionym atakującym ominięcie procesu płatności i aktywację płatnych członkostw.

CVE-2026-11702
Wysokie

Podatność w bibliotece Bytes::Random::Secure::Tiny dla Perla (wersje do 1.011) powoduje współdzielenie wewnętrznego stanu generatora liczb losowych (PRNG) pomiędzy procesami potomnymi po wykonaniu fork(). Jeśli obiekt zostanie zainicjalizowany przed forkiem, wszystkie procesy będą produkować identyczne ciągi losowe.

CVE-2026-11625
Wysokie

Podatność w bibliotece Bytes::Random::Secure dla Perla do wersji 0.29 powoduje współdzielenie wewnętrznego stanu generatora liczb losowych (PRNG) pomiędzy procesami potomnymi po wykonaniu fork(). Gdy obiekt jest inicjalizowany przed forkiem lub używany jest interfejs funkcyjny, procesy potomne otrzymują identyczne strumienie losowe.

CVE-2026-57881
Krytyczne

W urządzeniach GeoVision GV-LPC2011 i GV-LPC2211 w wersji V1.12 i wcześniejszych, w komponencie vlsvr, występuje podatność na przepełnienie bufora stosu. Niezautoryzowany atakujący może zdalnie wykorzystać tę lukę, wysyłając spreparowane dane logowania z nadmiernie długimi danymi wejściowymi, co prowadzi do uszkodzenia pamięci, odmowy usługi lub potencjalnie zdalnego wykonania kodu.

CVE-2026-57880
Krytyczne

W urządzeniach GeoVision GV-LPC2011 i GV-LPC2211 w wersji V1.12 i wcześniejszych wykryto podatność na przepełnienie bufora stosu w komponencie ssvr. Problem wynika z niewystarczającego sprawdzania granic podczas parsowania pól uwierzytelniania RTSP Digest. Zdalny, nieuwierzytelniony atakujący może wykorzystać tę lukę, wysyłając spreparowane żądanie RTSP z nadmiernie długimi danymi uwierzytelniającymi, co prowadzi do uszkodzenia pamięci, odmowy usługi lub potencjalnie zdalnego wykonania kodu.

CVE-2026-57879
Krytyczne

W urządzeniach GeoVision GV-LPC2011 i GV-LPC2211 w wersji V1.12 i wcześniejszych wykryto podatność na przepełnienie bufora stosu w komponencie ssvr. Problem wynika z niewystarczającego sprawdzania granic podczas przetwarzania niestandardowych danych uwierzytelniających RTSP. Zdalny, nieuwierzytelniony atakujący może wykorzystać tę lukę, wysyłając spreparowane żądanie RTSP, co może prowadzić do uszkodzenia pamięci, odmowy usługi lub potencjalnie wykonania dowolnego kodu.

CVE-2026-57878
Krytyczne

W urządzeniach GeoVision GV-LPC2011 i GV-LPC2211 w wersji V1.12 i wcześniejszych, w serwerze HTTP thttpd, występuje podatność na przepełnienie bufora stosu. Luka wynika z niewystarczającego sprawdzania granic podczas przetwarzania parametrów żądań HTTP w określonej ścieżce. Zdalny, nieuwierzytelniony atakujący może wysłać spreparowane żądanie HTTP z nadmiernie długim wejściem, co prowadzi do uszkodzenia pamięci, odmowy usługi lub potencjalnie zdalnego wykonania kodu.

CVE-2026-57877
Wysokie

W urządzeniach GeoVision GV-LPC2011 i GV-LPC2211 w wersji V1.12 i wcześniejszych wykryto podatność na atak typu format string w komponencie vlsvr. Luka występuje w ścieżce logowania, gdzie nieprawidłowo obsługiwane są dane wejściowe podczas formatowania komunikatów dziennika. Zdalny, nieuwierzytelniony atakujący może wysłać spreparowane dane logowania, co może prowadzić do ujawnienia informacji, uszkodzenia pamięci lub odmowy usługi.

PoprzedniaStrona 277 z 4691Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS