Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-14534
Wysokie

Podatność w bibliotece fickling do wersji 0.1.10 włącznie polega na braku modułów standardowej biblioteki Pythona (_posixsubprocess, site, atexit) na liście UNSAFE_IMPORTS. Funkcja check_safety() błędnie klasyfikuje złośliwe ładunki pickle jako LIKELY_SAFE, co prowadzi do ich deserializacji i wykonania niebezpiecznego kodu.

CVE-2026-12196
Wysokie

Funkcja cronjob w panelu HestiaCP zawiera podatność związaną z uszkodzoną kontrolą dostępu. Użytkownicy z niskimi uprawnieniami mogą modyfikować zadania cron panelu, aby wykonywać skrypty zarządzania HestiaCP z sudo bez hasła.

CVE-2026-12195
Wysokie

myVesta zawiera podatność na zdalne wykonanie kodu po uwierzytelnieniu. Użytkownicy z niskimi uprawnieniami mogą wstrzykiwać dowolne polecenia w parametrze v_ftp_user podczas usuwania nazw użytkowników FTP.

CVE-2026-14622
Wysokie

W komponencie AJAX Endpoint aplikacji restaurant-website-php-mysql wykryto brak uwierzytelnienia w pliku /admin/ajax_files. Podatność pozwala zdalnemu atakującemu na manipulację bez wymagania logowania. Exploit został opublikowany, a projekt nie odpowiedział na zgłoszenie.

CVE-2026-12252
Wysokie

W bibliotece nltk w wersjach 3.9.3 i wcześniejszych pięć klas interfejsu Stanford (StanfordPOSTagger, StanfordNERTagger, StanfordParser, StanfordDependencyParser i StanfordNeuralDependencyParser) jest podatnych na wykonanie niezaufanego kodu JAR. Klasy te akceptują kontrolowane przez użytkownika ścieżki JAR i wykonują je przez funkcję `java()`, która wywołuje `subprocess.Popen()` bez weryfikacji integralności. Podatność ta jest identyczna z CVE-2026-0848, która została naprawiona dla StanfordSegmenter przez dodanie weryfikacji SHA256, ale poprawka nie została zastosowana do tych dodatkowych klas.

CVE-2025-71380
Wysokie

Węzeł Execute Command w n8n umożliwia uwierzytelnionym użytkownikom wykonywanie dowolnych poleceń na systemie hosta, na którym działa n8n. Atakujący z dostępem użytkownika lub skradzionymi poświadczeniami mogą wykorzystać ten węzeł do uruchamiania złośliwych poleceń.

CVE-2025-71375
Wysokie

Picklescan przed wersją 0.0.34 nie wykrywa wbudowanej funkcji _operator.methodcaller podczas skanowania plików pickle w poszukiwaniu złośliwego kodu. Atakujący mogą tworzyć złośliwe ładunki pickle wykorzystujące _operator.methodcaller, które omijają wykrywanie i wykonują dowolny kod po załadowaniu przez pickle.load().

CVE-2025-71373
Wysokie

Podatność w narzędziu picklescan przed wersją 0.0.33 polega na braku wykrywania wywołań funkcji operator.methodcaller w plikach pickle. Umożliwia to atakującym ominięcie zabezpieczeń i wykonanie dowolnego kodu poprzez spreparowane ładunki pickle.

CVE-2025-71372
Wysokie

Picklescan przed wersją 0.0.33 nie wykrywa gadżetu numpy.f2py.crackfortran.getlincoef w metodach __reduce__ pickle, co umożliwia zdalne wykonanie kodu. Atakujący mogą stworzyć złośliwe pliki pickle, które po załadowaniu wykonują dowolny kod Pythona, omijając mechanizmy bezpieczeństwa Picklescan.

CVE-2025-71369
Wysokie

Podatność w narzędziu picklescan przed wersją 0.0.28 pozwala na ominięcie mechanizmów bezpieczeństwa poprzez wykorzystanie metody reduce z torch.utils.data.datapipes.utils.decoder.basichandlers. Atakujący mogą osadzić niewykrywalny złośliwy kod w plikach pickle, który wykonuje się podczas deserializacji.

CVE-2025-71367
Wysokie

Podatność w narzędziu picklescan przed wersją 0.0.34 nie wykrywa wywołań funkcji _operator.attrgetter w ładunkach pickle, co umożliwia atakującym ominięcie zabezpieczeń. Zdalni atakujący mogą stworzyć złośliwe pliki pickle używające _operator.attrgetter w metodach reduce do wykonania dowolnego kodu podczas przetwarzania pliku przez pickle.load().

CVE-2025-71366
Wysokie

Podatność w narzędziu picklescan przed wersją 0.0.28 pozwala na ominięcie kontroli bezpieczeństwa poprzez niewykrywanie złośliwych wywołań funkcji torch.utils.bottleneck.__main__.run_cprofile w plikach pickle. Atakujący zdalni mogą osadzić niewykrywalny kod w plikach pickle, co prowadzi do wykonania dowolnego kodu po ich załadowaniu przez ofiarę.

CVE-2025-71364
Wysokie

Picklescan przed wersją 0.0.30 nie wykrywa funkcji asyncio.unix_events._UnixSubprocessTransport._start w metodach reduce pickle, co umożliwia zdalne wykonanie kodu. Atakujący mogą stworzyć złośliwe pliki pickle zawierające tę wbudowaną funkcję, które omijają detekcję, ale wykonują dowolne polecenia po załadowaniu.

CVE-2025-71362
Wysokie

Podatność w narzędziu picklescan przed wersją 0.0.33 polega na braku wykrywania niebezpiecznej deserializacji, gdy funkcje numpy.f2py.crackfortran wywołują eval na dowolnych ciągach znaków. Atakujący mogą osadzić złośliwy kod w plikach pickle, który wykonuje się podczas ładowania z niezaufanych źródeł.

CVE-2025-71360
Wysokie

Podatność w narzędziu picklescan przed wersją 0.0.29 polega na braku wykrywania złośliwych plików pickle wykorzystujących funkcję idlelib.calltip.get_entity w metodach reduce. Atakujący mogą osadzić niewykryty kod w plikach pickle, który wykonuje zdalne polecenia po załadowaniu przez ofiarę.

CVE-2025-71359
Wysokie

Podatność w narzędziu picklescan przed wersją 0.0.29 nie wykrywa złośliwych ładunków pickle wykorzystujących metodę lib2to3.pgen2.grammar.Grammar.loads w funkcji reduce, co umożliwia zdalne wykonanie kodu. Atakujący mogą stworzyć pliki pickle zawierające niebezpieczny kod, który omija detekcję picklescan i wykonuje się podczas deserializacji pickle.load().

CVE-2025-71356
Wysokie

Podatność w narzędziu picklescan przed wersją 0.0.28 nie wykrywa złośliwych wywołań funkcji torch.fx.experimental.symbolic_shapes.ShapeEnv.evaluate_guards_expression w plikach pickle. Atakujący mogą osadzić niewykryty kod w plikach pickle, który wykonuje zdalny kod po załadowaniu przez ofiarę.

CVE-2025-71353
Wysokie

Podatność w narzędziu picklescan przed wersją 0.0.28 pozwala na ominięcie detekcji złośliwych plików pickle. Atakujący mogą wykorzystać funkcję torch._dynamo.guards.GuardBuilder.get w metodach reduce, aby osadzić kod, który unika wykrycia i wykonuje dowolne polecenia po załadowaniu pliku.

CVE-2025-71347
Wysokie

Podatność w narzędziu picklescan przed wersją 0.0.33 pozwala na ominięcie zabezpieczeń poprzez wykorzystanie funkcji numpy.f2py.crackfortran.param_eval w metodach reduce. Atakujący mogą osadzić niewykrywalny kod w plikach pickle, który wykonuje się podczas deserializacji.

CVE-2025-71345
Wysokie

Picklescan przed wersją 0.0.30 nie wykrywa złośliwych plików pickle, które wywołują funkcję torch.utils.bottleneck.__main__.run_autograd_prof. Atakujący mogą osadzić niewykryty kod w plikach pickle, który wykonuje się podczas deserializacji, umożliwiając zdalne wykonanie kodu.

PoprzedniaStrona 5 z 3336Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS