Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-54263
Wysokie

W Wagtail, systemie zarządzania treścią opartym na Django, w wersjach przed 7.0.8, 7.3.3 i 7.4.2 występuje podatność na odbity XSS w widoku dynamicznego generowania URL obrazów w panelu administracyjnym. Użytkownik z ograniczonymi uprawnieniami edytora może stworzyć złośliwy URL, który po otwarciu przez administratora wykona działania w jego imieniu.

CVE-2026-54262
Średnie

W Wagtail, systemie zarządzania treścią opartym na Django, w wersjach przed 7.0.8, 7.3.3 i 7.4.2, użytkownik z niskim poziomem uprawnień posiadający uprawnienie "Can submit translation" może tworzyć tłumaczenia dla dowolnych stron, w tym tych, do których nie ma dostępu. Luka została załatana w wersjach 7.0.8, 7.3.3 i 7.4.2.

CVE-2026-54261
Średnie

W Wagtail, systemie zarządzania treścią opartym na Django, brakuje kontroli uprawnień w punkcie końcowym podglądu obrazów. Użytkownik z dostępem do panelu administracyjnego może podglądać dowolny obraz, ale nie są ujawniane dane samego obiektu obrazu. Luka nie jest dostępna dla zwykłych odwiedzających stronę.

CVE-2026-54260
Średnie

W Wagtail, systemie zarządzania treścią opartym na Django, w wersjach przed 7.0.8, 7.3.3 i 7.4.2, uwierzytelniony użytkownik administracyjny może wywołać kosztowne przetwarzanie renderowania za pomocą celowo spreparowanych specyfikacji filtrów, co może prowadzić do degradacji usługi. Podatność nie jest dostępna dla zwykłego odwiedzającego stronę bez dostępu do panelu administracyjnego Wagtail.

CVE-2026-54259
Średnie

W Wagtail, systemie zarządzania treścią opartym na Django, w wersjach przed 7.0.8, 7.3.3 i 7.4.2, endpoint wyboru dokumentów i obrazów nieprawidłowo wyświetlał elementy, do których użytkownik nie miał uprawnień wyboru. Osoba z dostępem do panelu administracyjnego Wagtail mogła zobaczyć nazwy plików, nazwy i adresy URL dokumentów oraz obrazów w tych kolekcjach.

CVE-2026-52190
Wysokie

Podatność przepełnienia bufora w routerze UTT nv518G w wersji oprogramowania nv518GV3v3.2.7-210919-161313 umożliwia zdalnemu atakującemu spowodowanie odmowy usługi (DoS) poprzez komponent gohead/sub_448384.

CVE-2026-52186
Krytyczne

Podatność SQL Injection w UTT nv518G w wersji oprogramowania nv518GV3v3.2.7-210919-161313 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu poprzez komponent gohead/sub_463bbc.

CVE-2026-38891
Wysokie

Podatność w komponencie gazebo_ros_diff_drive.cpp biblioteki gazebo_plugins w wersji 3.9.0 wynika z nieprawidłowej walidacji danych wejściowych. Atakujący może wysłać spreparowaną wiadomość geometry_msgs::Twist, powodując odmowę usługi (DoS).

CVE-2026-36912
Wysokie

W bibliotece MPC-BE przed commit 4341cb3 odkryto podatność polegającą na dereferencji wskaźnika NULL w funkcji AP4_AtomSampleTable::GetSample(). Atakujący może wykorzystać specjalnie spreparowany plik MP4, powodując awarię aplikacji (odmowę usługi).

CVE-2026-36911
Średnie

Podatność dzielenia przez zero w funkcji CStreamSwitcherOutputPin::DecideBufferSize w odtwarzaczu MPC-BE przed commit 4341cb3 umożliwia atakującym wywołanie odmowy usługi (DoS) poprzez spreparowany plik MP4.

CVE-2026-36910
Średnie

Podatność w funkcji BaseSplitterFile::Read odtwarzacza MPC-BE przed commit 4341cb3 umożliwia atakującym wywołanie błędu naruszenia dostępu poprzez spreparowany plik MP4, co prowadzi do odmowy usługi (DoS).

CVE-2026-36909
Średnie

W bibliotece MPC-BE przed commit 4341cb3 w funkcji AP4_TkhdAtom::GetTrackId() występuje błąd dereferencji wskaźnika NULL. Atakujący może wykorzystać spreparowany plik MP4, aby spowodować awarię aplikacji (DoS).

CVE-2026-58263
Wysokie

W edytorze Jodit przed wersją 4.12.28 odkryto podatność polegającą na obejściu wbudowanego sanitizera HTML za pomocą nośnika MathML/<style>, który ukrywa niebezpieczny element przed przeszukiwaniem sanitizera. W rezultacie do wartości edytora przedostaje się program obsługi zdarzeń niewymagający interakcji użytkownika, co może prowadzić do mutacyjnego ataku XSS.

CVE-2026-55886
Średnie

Jodit Editor w wersjach przed 4.12.26 jest podatny na zanieczyszczenie prototypu (Prototype Pollution) przez funkcję Jodit.modules.Helpers.set(). Atakujący może przekazać specjalnie spreparowaną ścieżkę klucza zawierającą __proto__, constructor lub prototype, co prowadzi do modyfikacji Object.prototype i wstrzyknięcia nieoczekiwanych właściwości.

CVE-2026-55661
Średnie

W systemie zarządzania treścią Tina stwierdzono podatność na atak XSS w komponencie rich-text. Parsowanie oraz domyślne renderery linków/obrazów nie oczyszczają pola URL w węzłach Slate, co pozwala na wstrzyknięcie złośliwych adresów (np. javascript: lub data:text/html) i ich wykonanie podczas przeglądania treści.

CVE-2026-55660
Wysokie

Podatność w systemie zarządzania treścią Tina umożliwia ataki XSS i przejęcie sesji poprzez niezweryfikowane komunikaty postMessage oraz niewystarczające oczyszczanie adresów URL w treści bogatej. Atakujący może wykorzystać okno przeglądarki ofiary do wysyłania sfałszowanych wiadomości i przejąć kontrolę nad sesją edycyjną.

CVE-2026-55153
Wysokie

Biblioteka mchange-commons-java przed wersją 0.6.0 zawiera podatność w implementacji JNDI ObjectFactory (JavaBeanObjectFactory), która umożliwia konstruowanie obiektów dowolnych klas i inicjalizację ich właściwości w stylu JavaBean. Dla niektórych klas, takich jak Swing JEditorPane, może to prowadzić do niebezpiecznych działań, np. wysłania żądania HTTP na dowolny adres URL po ustawieniu właściwości contentType i text.

CVE-2026-54786
Średnie

Wasmtime do wersji 24.0.10, 36.0.11, 44.0.3 oraz 45.0.2 zawiera podatność w natywnej implementacji WASIp1, gdzie funkcja fd_renumber nie zamyka prawidłowo deskryptora pliku, do którego następuje przepisanie. Powoduje to wyciek zasobów w systemie gospodarza, który może prowadzić do wyczerpania dostępnych deskryptorów plików i zasobów.

CVE-2026-54756
Średnie

W Jodit Editor przed wersją 4.12.18 funkcja Jodit.configure() oraz wewnętrzne helpery ConfigMerge/ConfigProto scalały opcje użytkownika bez filtrowania kluczy modyfikujących prototyp, co prowadziło do podatności na zatrucie prototypu (Prototype Pollution).

CVE-2026-54720
Średnie

W Silverstripe Framework przed wersją 6.2.2 funkcja 'Wstaw media z sieci' w CMS jest podatna na atak XSS poprzez specjalnie spreparowany kod osadzenia. Luka została naprawiona w wersji 6.2.2.

PoprzedniaStrona 37 z 4505Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS