Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-14398
Krytyczne

W przeglądarce Google Chrome przed wersją 150.0.7871.46 wykryto podatność use-after-free w komponencie ANGLE. Zdalny atakujący może wykorzystać specjalnie spreparowaną stronę HTML do potencjalnej ucieczki z piaskownicy.

CVE-2026-14397
Krytyczne

Podatność w komponencie ANGLE w przeglądarce Google Chrome na systemie Mac przed wersją 150.0.7871.46 umożliwia zdalnemu atakującemu potencjalną ucieczkę z piaskownicy poprzez spreparowaną stronę HTML. Problem wynika z zapisu poza dozwolonym zakresem pamięci.

CVE-2026-14392
Krytyczne

Podatność w komponencie Tint przeglądarki Google Chrome przed wersją 150.0.7871.46 umożliwiała zdalnemu atakującemu potencjalną ucieczkę z piaskownicy poprzez spreparowaną stronę HTML. Problem wynika z zapisu poza dozwolonym obszarem pamięci.

CVE-2026-14390
Krytyczne

Podatność Use-After-Free w komponencie ANGLE przeglądarki Google Chrome przed wersją 150.0.7871.46 umożliwia zdalnemu atakującemu potencjalną ucieczkę z piaskownicy poprzez spreparowaną stronę HTML. Problem został sklasyfikowany jako wysokiego ryzyka.

CVE-2026-14387
Krytyczne

W przeglądarce Google Chrome przed wersją 150.0.7871.46 wykryto przepełnienie liczby całkowitej w bibliotece Skia. Umożliwiało ono zdalnemu atakującemu potencjalną ucieczkę z piaskownicy poprzez spreparowaną stronę HTML.

CVE-2026-14382
Krytyczne

Podatność w komponencie ANGLE w przeglądarce Google Chrome przed wersją 150.0.7871.46 wynika z niewystarczającej walidacji niezaufanych danych wejściowych. Zdalny atakujący może wykorzystać specjalnie spreparowaną stronę HTML do potencjalnej ucieczki z piaskownicy przeglądarki.

CVE-2026-52186
Krytyczne

Podatność SQL Injection w UTT nv518G w wersji oprogramowania nv518GV3v3.2.7-210919-161313 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu poprzez komponent gohead/sub_463bbc.

CVE-2026-58457
KrytyczneEPSS 74%

W repeaterze Wi-Fi Shenzhen Aitemi M300 (model MT02) wykryto nieuwierzytelnioną podatność na wstrzykiwanie poleceń systemu operacyjnego. Atakujący z sąsiedniej sieci może wykonać dowolne polecenia powłoki, wstrzykując niesanitowane dane przez parametr smacfilter_conf w backendzie webowym commuos.

CVE-2026-53492
Krytyczne

W systemie containerd przed wersjami 2.3.2, 2.2.5 i 2.1.9 wykryto podatność w implementacji CRI, która nieprawidłowo ufa adnotacjom CDI z nieufnych metadanych obrazów punktów kontrolnych podczas przywracania kontenera. Osoba z uprawnieniami do tworzenia podów może ominąć standardowe przydzielanie zasobów Kubernetes i wymusić wstrzyknięcie dowolnych urządzeń lub montowań hosta do przywróconego kontenera.

CVE-2026-51947
Krytyczne

Podatność w Pivotal CRM 6.6.4.08 oraz systemach z łatką ghi-15381-cwe-502-20251225.zip umożliwia zdalnemu atakującemu wykonanie dowolnego kodu poprzez komponent Pivotal.Engine.Client.Services.Conversion.dll. Problem wynika z niekompletnej poprawki dla CVE-2026-39253.

CVE-2026-50195
Krytyczne

Podatność w containerd przed wersjami 2.3.2, 2.2.5 i 2.1.9 pozwala atakującemu z uprawnieniami do tworzenia podów na zatrucie lokalnego cache obrazów poprzez spreparowany obraz punktu kontrolnego (checkpoint). Brak walidacji referencji obrazów w konfiguracji importu punktu kontrolnego umożliwia przypisanie dowolnego lokalnego tagu do złośliwego obrazu.

CVE-2026-50160
Krytyczne

W samodzielnie hostowanych wdrożeniach Hoppscotch w wersji 2026.4.1 i wcześniejszych, nieuwierzytelniony endpoint POST /v1/onboarding/config jest podatny na masowe przypisanie (mass assignment). Brak whitelist: true w globalnym ValidationPipe NestJS powoduje, że dodatkowe właściwości w żądaniu nie są odrzucane, a klucze takie jak JWT_SECRET i SESSION_SECRET są traktowane jako prawidłowe wpisy InfraConfig, co pozwala atakującemu na ich nadpisanie.

CVE-2026-58453
KrytyczneEPSS 74%

Kamery IP Wi-Fi JAIOTlink C492A-W6 z oprogramowaniem 4.8.30.57701411 zawierają zakodowane na stałe poświadczenia, umożliwiające atakującym z sąsiedztwa sieciowego nieautoryzowany dostęp poprzez użycie domyślnej nazwy użytkownika admin z pustym hasłem akceptowanym przez usługę HTTP anyka_ipc na porcie 80. Atakujący mogą uwierzytelnić się tymi poświadczeniami, aby uzyskać dostęp do migawek z kamery, strumieni wideo, konfiguracji sieci oraz punktów końcowych API na poziomie fabrycznym, w tym powierzchni do wstrzykiwania poleceń SetMAC.

CVE-2026-34117
Krytyczne

Podatność w systemie językowym Guardian polega na przekazywaniu parametru GET 'id' bezpośrednio do funkcji PHP exec() w pliku text_to_subtitles.php (linia 19) bez sanityzacji. Nie wymaga uwierzytelnienia, co pozwala zdalnemu atakującemu na dołączenie metaznaków powłoki i wykonanie dowolnych poleceń systemowych na serwerze.

CVE-2026-34116
Krytyczne

Podatność w systemie językowym Guardian polega na przekazywaniu parametru GET 'id' bezpośrednio do funkcji PHP exec() w pliku transcribe.php bez sanitizacji. Niezautoryzowany atakujący może dołączyć metaznaki powłoki i wykonać dowolne polecenia systemowe na serwerze.

CVE-2026-34115
Krytyczne

Podatność w systemie Guardian language-system pozwala nieuwierzytelnionemu atakującemu na zdalne wykonanie dowolnych poleceń systemu operacyjnego poprzez wstrzyknięcie metaznaków powłoki do parametru 'id' przekazywanego do funkcji PHP exec() w pliku transcribe_amazon.php.

CVE-2026-34114
Krytyczne

Podatność w systemie językowym Guardian pozwala nieuwierzytelnionemu atakującemu na zdalne wykonanie dowolnych poleceń systemu operacyjnego poprzez wstrzyknięcie znaków specjalnych do parametru 'id' w skrypcie translate_text.php. Brak walidacji danych wejściowych oraz bezpośrednie przekazanie parametru do funkcji exec() umożliwia atak bez wymaganego uwierzytelnienia.

CVE-2026-34113
Krytyczne

Podatność w systemie Guardian language-system pozwala nieuwierzytelnionemu atakującemu na zdalne wykonanie dowolnych poleceń systemu operacyjnego poprzez wstrzyknięcie metaznaków powłoki do parametru 'id' w skrypcie speech_text.php.

CVE-2026-34112
Krytyczne

Podatność w systemie Guardian language-system pozwala nieuwierzytelnionemu atakującemu na zdalne wykonanie dowolnych poleceń systemu operacyjnego poprzez wstrzyknięcie znaków specjalnych do parametru 'id' w skrypcie speechmac.php.

CVE-2026-34111
Krytyczne

Podatność w systemie Guardian language-system pozwala nieuwierzytelnionemu atakującemu na zdalne wykonanie dowolnych poleceń systemu operacyjnego poprzez wstrzyknięcie metaznaków powłoki do parametru id przekazywanego bezpośrednio do funkcji PHP exec() w pliku speechmac_text.php.

PoprzedniaStrona 4 z 554Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS