Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-56149
Średnie

Podatność CWE-770 w Elasticsearch umożliwia atak DoS poprzez nadmierną alokację pamięci. Użytkownik z podwyższonymi uprawnieniami może wysłać spreparowane żądanie uczenia maszynowego, co prowadzi do wyczerpania zasobów i niedostępności węzła.

CVE-2026-56148
Średnie

Podatność CVE-2026-56148 w Elasticsearch umożliwia niekontrolowaną rekurencję, co prowadzi do odmowy usługi. Uwierzytelniony użytkownik może wysłać specjalnie spreparowane zapytanie, które powoduje nadmierne zużycie zasobów podczas przetwarzania, potencjalnie uniemożliwiając działanie dotkniętego węzła.

CVE-2026-54399
Wysokie

Podatność na niekontrolowane zużycie zasobów w parserze wiadomości HTTP/1.1 w Apache HttpComponents Core (wersje 5.4.2 i wcześniejsze, 5.5-beta1 i wcześniejsze) umożliwia zdalnemu atakującemu wywołanie odmowy usługi poprzez wyczerpanie pamięci. Atak polega na wysyłaniu wiadomości z nadmierną liczbą nagłówków lub nadmiernie długimi nagłówkami.

CVE-2026-49088
Średnie

Podatność CVE-2026-49088 w Kibanie umożliwia wstawianie wrażliwych informacji do plików dziennika. Gdy opcjonalne monitorowanie wydajności aplikacji (APM) jest włączone, wrażliwe wartości nagłówków żądań mogą być rejestrowane w logach aplikacji.

CVE-2026-49087
Średnie

Podatność CWE-770 w Kibanie umożliwia atak DoS poprzez nadmierną alokację zasobów. Uwierzytelniony użytkownik może wysłać spreparowane żądanie masowego usunięcia, powodując wyczerpanie zasobów i niedostępność Kibany.

CVE-2026-34117
Krytyczne

Podatność w systemie językowym Guardian polega na przekazywaniu parametru GET 'id' bezpośrednio do funkcji PHP exec() w pliku text_to_subtitles.php (linia 19) bez sanityzacji. Nie wymaga uwierzytelnienia, co pozwala zdalnemu atakującemu na dołączenie metaznaków powłoki i wykonanie dowolnych poleceń systemowych na serwerze.

CVE-2026-34116
Krytyczne

Podatność w systemie językowym Guardian polega na przekazywaniu parametru GET 'id' bezpośrednio do funkcji PHP exec() w pliku transcribe.php bez sanitizacji. Niezautoryzowany atakujący może dołączyć metaznaki powłoki i wykonać dowolne polecenia systemowe na serwerze.

CVE-2026-34115
Krytyczne

Podatność w systemie Guardian language-system pozwala nieuwierzytelnionemu atakującemu na zdalne wykonanie dowolnych poleceń systemu operacyjnego poprzez wstrzyknięcie metaznaków powłoki do parametru 'id' przekazywanego do funkcji PHP exec() w pliku transcribe_amazon.php.

CVE-2026-34114
Krytyczne

Podatność w systemie językowym Guardian pozwala nieuwierzytelnionemu atakującemu na zdalne wykonanie dowolnych poleceń systemu operacyjnego poprzez wstrzyknięcie znaków specjalnych do parametru 'id' w skrypcie translate_text.php. Brak walidacji danych wejściowych oraz bezpośrednie przekazanie parametru do funkcji exec() umożliwia atak bez wymaganego uwierzytelnienia.

CVE-2026-34113
Krytyczne

Podatność w systemie Guardian language-system pozwala nieuwierzytelnionemu atakującemu na zdalne wykonanie dowolnych poleceń systemu operacyjnego poprzez wstrzyknięcie metaznaków powłoki do parametru 'id' w skrypcie speech_text.php.

CVE-2026-34112
Krytyczne

Podatność w systemie Guardian language-system pozwala nieuwierzytelnionemu atakującemu na zdalne wykonanie dowolnych poleceń systemu operacyjnego poprzez wstrzyknięcie znaków specjalnych do parametru 'id' w skrypcie speechmac.php.

CVE-2026-34111
Krytyczne

Podatność w systemie Guardian language-system pozwala nieuwierzytelnionemu atakującemu na zdalne wykonanie dowolnych poleceń systemu operacyjnego poprzez wstrzyknięcie metaznaków powłoki do parametru id przekazywanego bezpośrednio do funkcji PHP exec() w pliku speechmac_text.php.

CVE-2026-34110
Krytyczne

Podatność w systemie Guardian language-system pozwala nieuwierzytelnionemu atakującemu na zdalne wykonanie dowolnych poleceń systemu operacyjnego poprzez wstrzyknięcie metaznaków powłoki do parametru 'id' przekazywanego bez sanityzacji do funkcji PHP exec() w pliku complex_start.php.

CVE-2026-34109
Krytyczne

Podatność w systemie językowym Guardian polega na przekazywaniu parametru GET 'id' bezpośrednio do funkcji PHP exec() w pliku speech.php bez sanitizacji. Niezautoryzowany atakujący może dołączyć metaznaki powłoki i wykonać dowolne polecenia systemowe na serwerze.

CVE-2026-34108
Krytyczne

Podatność w systemie Guardian language-system pozwala nieuwierzytelnionemu atakującemu na zdalne wykonanie dowolnych poleceń systemu operacyjnego poprzez wstrzyknięcie metaznaków powłoki do parametru id przekazywanego do funkcji exec() w pliku text.php.

CVE-2026-34107
Krytyczne

Podatność w systemie językowym Guardian polega na przekazywaniu parametru GET 'id' bezpośrednio do funkcji PHP exec() w pliku translate.php (linia 14) bez sanityzacji. Niezautoryzowany atakujący zdalny może dołączyć metaznaki powłoki, aby wykonać dowolne polecenia systemu operacyjnego na serwerze.

CVE-2026-34106
Krytyczne

Podatność w systemie językowym Guardian polega na bezpośrednim przekazaniu parametru id z żądania GET do funkcji PHP exec() w pliku subtitles.php bez sanitizacji. Niezautoryzowany atakujący może dołączyć znaki specjalne powłoki do parametru id, co umożliwia wykonanie dowolnych poleceń systemu operacyjnego na serwerze.

CVE-2026-34105
Krytyczne

Podatność SQL Injection w komponencie Guardian language-system pozwala uwierzytelnionemu atakującemu na wstrzyknięcie złośliwego kodu SQL poprzez parametr 'id' w pliku translate_text.php. Brak sanityzacji danych wejściowych umożliwia ekstrakcję zawartości bazy danych przy użyciu techniki error-based SQL injection.

CVE-2026-34104
Krytyczne

Podatność SQL Injection w systemie Guardian language-system pozwala uwierzytelnionemu atakującemu na wstrzyknięcie kodu SQL poprzez parametr GET 'name' w pliku designer.php. Brak sanityzacji danych wejściowych umożliwia wykonanie dowolnych zapytań SQL i ekstrakcję zawartości bazy danych.

CVE-2026-34103
Krytyczne

Podatność SQL Injection w komponencie Guardian language-system pozwala uwierzytelnionemu atakującemu na wstrzyknięcie złośliwego kodu SQL poprzez parametr 'id' w skrypcie subtitles.php. Brak sanityzacji danych wejściowych umożliwia ekstrakcję zawartości bazy danych przy użyciu techniki error-based SQL injection.

PoprzedniaStrona 51 z 4518Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS