Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-11839
Krytyczne

Podatność w Rotaban firmy Başarsoft Information Technologies Inc. umożliwia nieograniczone przesyłanie plików z niebezpiecznymi typami, co pozwala na przesłanie powłoki sieciowej na serwer WWW.

CVE-2026-38581
Krytyczne

W podatności CVE-2026-38581 występuje luka typu SQL Injection w damasac thaipalliative_lte w wersji do 3.0, która pozwala zdalnym atakującym na wykonywanie dowolnych poleceń SQL poprzez parametry idFormMain i id w pliku ezform.php.

CVE-2026-7852
Krytyczne

W systemie LimRAD NAC firmy Limatek System Inc. występuje podatność na nieograniczone przesyłanie plików z niebezpiecznymi typami, co umożliwia zdalne włączenie kodu.

CVE-2026-11561
Krytyczne

W podatności CVE-2026-11561 występuje niewłaściwe neutralizowanie specjalnych elementów używanych w wyrażeniach języka, co prowadzi do możliwości wstrzyknięcia kodu w oprogramowaniu Apinizer firmy Soagen Informatics Technologies Software and Consulting Inc.

CVE-2026-4764
Krytyczne

W podatności CVE-2026-4764 występuje brak autoryzacji w funkcjonalności importu playbooków w Dialogflow CX na Google Cloud Platform. Umożliwia to uwierzytelnionemu użytkownikowi z określonymi rolami eskalację uprawnień i potencjalne przejęcie projektu GCP za pomocą złośliwie skonstruowanego importu playbooka.

CVE-2026-35273
KrytyczneAktywnie exploitowaneEPSS 96%

Podatność w produkcie PeopleSoft Enterprise PeopleTools firmy Oracle, dotycząca zarządzania środowiskiem aktualizacji. Wersje 8.61 i 8.62 są podatne na łatwe do wykorzystania ataki, które mogą prowadzić do przejęcia systemu.

CVE-2026-46703
Krytyczne

Boxlite to usługa sandbox, która pozwala użytkownikom na tworzenie lekkich maszyn wirtualnych i uruchamianie kontenerów OCI. W wersjach przed 0.9.0, Boxlite nie uwzględnia możliwości, że wpisy tar w obrazach OCI mogą być dowiązaniami symbolicznymi wskazującymi na ścieżki bezwzględne, co umożliwia atakującemu wykonanie złośliwego kodu na hoście.

CVE-2026-46695
Krytyczne

Boxlite to usługa sandbox, która umożliwia użytkownikom tworzenie lekkich maszyn wirtualnych i uruchamianie kontenerów OCI. W wersjach przed 0.9.0, Boxlite nie ogranicza możliwości jądra dostępnych wewnątrz kontenera, co pozwala złośliwemu kodowi na uzyskanie dostępu do zapisu w katalogach, które powinny być tylko do odczytu.

CVE-2026-50638
Krytyczne

Wersje Metrics::Any::Adapter::DogStatsd przed 0.04 dla Perla nie chronią przed wstrzyknięciami metryk. Protokół statsd pozwala na wysyłanie wielu metryk w jednym pakiecie, co stwarza ryzyko wstrzyknięcia złośliwych danych.

CVE-2026-50566
Krytyczne

Fission to framework serverless, natywny dla Kubernetes, który upraszcza wdrażanie funkcji i aplikacji. W wersjach przed 1.24.0, użytkownik z odpowiednimi uprawnieniami RBAC mógł uruchomić kontenery z podwyższonymi uprawnieniami, co prowadziło do możliwości ucieczki z piaskownicy kontenera oraz dostępu do systemu plików i sieci hosta.

CVE-2026-50564
Krytyczne

Fission to framework serverless, natywny dla Kubernetes, który przed wersją 1.24.0 miał problem z bezpieczeństwem związanym z CRD Environment. W specyfikacji podów runtime i buildera brakowało filtracji dla krytycznych pól, co mogło prowadzić do nieautoryzowanego dostępu do zasobów systemowych.

CVE-2026-50563
Krytyczne

Fission to framework serverless, natywny dla Kubernetes, który upraszcza wdrażanie funkcji i aplikacji. W wersjach przed 1.24.0, ścieżka Container Executor pozwalała na bezpośrednie dostarczanie specyfikacji podu przez użytkownika, co mogło prowadzić do nieautoryzowanego dostępu do zasobów.

CVE-2026-50545
Krytyczne

Fission to framework serverless, natywny dla Kubernetes, który upraszcza wdrażanie funkcji i aplikacji. W wersjach przed 1.24.0 brakowało walidacji w Environment.spec.runtime.podSpec / spec.builder.podSpec, co prowadziło do propagacji niebezpiecznych pól do generowanych podów.

CVE-2026-46614
Krytyczne

Fission, framework serverless dla Kubernetes, przed wersją 1.23.0 rejestrował wewnętrzne trasy dla obiektów funkcji, co pozwalało na ich wywoływanie bez odpowiednich uprawnień. Umożliwiało to atakującym wywoływanie funkcji poprzez zgadywanie ich nazw i przestrzeni nazw.

CVE-2026-20253
KrytyczneAktywnie exploitowaneEPSS 95%

W Splunk Enterprise w wersjach 10.2 poniżej 10.2.4 oraz 10 poniżej 10.0.7, nieautoryzowany użytkownik może tworzyć lub skracać dowolne pliki poprzez punkt końcowy usługi PostgreSQL sidecar. Podatność wynika z braku kontroli uwierzytelniania w tym punkcie końcowym.

CVE-2026-53476
Krytyczne

Wykryto lukę w narzędziu assisted-migration-agent, która pozwala nieautoryzowanemu atakującemu, znajdującemu się w tej samej sieci lokalnej, na wykorzystanie podatności typu path traversal. Atakujący może stworzyć specjalnie zaprojektowany skompresowany plik tar, co pozwala na ominięcie zabezpieczeń i zapisanie dowolnych plików w systemie.

CVE-2026-53475
Krytyczne

W aplikacji assisted-migration-agent znaleziono lukę, która polega na hardcodowaniu niebezpiecznych połączeń TLS podczas komunikacji z vCenter. Umożliwia to atakującemu typu Man-in-the-Middle przechwycenie i zbieranie poświadczeń administratora vCenter.

CVE-2026-53474
Krytyczne

W systemie migration-planner znaleziono lukę, która pozwala zdalnemu, uwierzytelnionemu atakującemu na przesłanie specjalnie przygotowanego pliku RVTools .xlsx. Z powodu niewłaściwej sanitizacji danych wejściowych, złośliwe zapytania SQL osadzone w komórkach arkusza są wykonywane podczas przetwarzania nazw klastrów.

CVE-2026-53471
Krytyczne

W migratorze występuje luka, w której middleware agent-API nie weryfikuje poprawnie roszczenia source_id w tokenach JWT. To pozwala uwierzytelnionemu atakującemu na manipulację danymi między różnymi najemcami, co prowadzi do całkowitego załamania izolacji najemców.

CVE-2026-53470
Krytyczne

W systemie migration-planner znaleziono lukę, która pozwala uwierzytelnionemu atakującemu na obejście kontroli dostępu w punkcie końcowym `/api/v1/sources/{id}/image-url`. Dzięki temu atakujący może uzyskać presigned S3 URL-e do obrazów OVA należących do innych użytkowników.

PoprzedniaStrona 45 z 558Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS