Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-36748
Krytyczne

Podatność XSS w RockRMS w wersjach do 16.13 oraz przed 17.7.0, występująca w linkach do mediów społecznościowych w profilu użytkownika. Atakujący może wstrzyknąć złośliwy skrypt, który wykona się w przeglądarce ofiary.

CVE-2026-36576
Krytyczne

W podatności CVE-2026-36576 występuje możliwość wstrzyknięcia poleceń systemowych w komponencie app.py aplikacji openlabs docker-wkhtmltopdf-aas do commit 9f50579. Atakujący mogą wykonać dowolne polecenia za pomocą odpowiednio skonstruowanego żądania POST.

CVE-2026-5241
Krytyczne

W bibliotece Hugging Face Transformers w wersji 5.2.0 wykryto podatność w ścieżce ładowania modelu LightGlue. Atakujący może dostarczyć złośliwe repozytorium modelu, które nadpisuje parametr `trust_remote_code` w zagnieżdżonych wywołaniach, co prowadzi do wykonania dowolnego kodu podczas inicjalizacji modelu, nawet gdy użytkownik jawnie wyłączył zdalne wykonywanie kodu.

CVE-2026-35075
Krytyczne

Podatność pozwala nieuwierzytelnionemu zdalnemu atakującemu na odzyskanie domyślnego, zakodowanego na stałe hasła z obrazu oprogramowania układowego, co umożliwia pełny dostęp do wszystkich podatnych urządzeń.

CVE-2026-47065
Krytyczne

Podatność w bibliotece ZDRES-232 i ZDRES-233 umożliwia ominięcie filtru akceptowanych klas poprzez użycie java.lang.reflect.Proxy oraz wywołanie inicjalizatora statycznego dozwolonej klasy przed utworzeniem instancji. Atakujący może zdalnie wykonać kod lub wywołać niepożądane efekty uboczne.

CVE-2025-14771
Krytyczne

W T-MAC Plus w wersji 4.0-24 występuje podatność, która umożliwia dostęp do plików lub katalogów osobom zewnętrznym. Problem ten może prowadzić do nieautoryzowanego ujawnienia danych.

CVE-2026-32625
Krytyczne

W wersjach do 0.8.3 LibreChat, integracja serwera Model Context Protocol (MCP) rozwiązuje miejsca ${VAR} w adresach URL serwera MCP dostarczonych przez użytkowników. Umożliwia to uwierzytelnionym użytkownikom stworzenie złośliwej konfiguracji serwera MCP, co prowadzi do przesyłania wrażliwych danych do serwera kontrolowanego przez atakującego.

CVE-2026-49448
Krytyczne

W aplikacji authentik, będącej otwartoźródłowym dostawcą tożsamości, przed wersjami 2025.12.6, 2026.2.4 i 2026.5.1 istniała możliwość ominięcia etapu źródłowego poprzez wysłanie pustego żądania POST. Problem ten został naprawiony w wymienionych wersjach.

CVE-2026-42849
Krytyczne

W oprogramowaniu authentik, będącym otwartoźródłowym dostawcą tożsamości, przed wersjami 2025.12.5 i 2026.2.3 istniała możliwość wykorzystania podatności XSS w AutosubmitStage z powodu implementacji etapów w SFE (Simple Flow Executor) w celu zwiększenia kompatybilności interfejsu z przestarzałymi przeglądarkami.

CVE-2026-5076
Krytyczne

Wtyczka ARMember Premium dla WordPressa jest podatna na niebezpieczny mechanizm resetowania hasła we wszystkich wersjach do i włącznie z 7.3.1. Wtyczka przechowuje niezaszyfrowaną kopię klucza resetowania hasła w polu meta użytkownika `arm_reset_password_key`, co umożliwia atakującym ustawienie nowego hasła dla dowolnego użytkownika.

CVE-2026-38967
Krytyczne

CrowCpp Crow w wersji do 1.3.1 jest podatny na wstrzykiwanie nagłówków odpowiedzi poprzez niezweryfikowane wartości nagłówków odpowiedzi.

CVE-2026-42074
Krytyczne

OpenClaude to interfejs wiersza poleceń dla dostawców modeli chmurowych i lokalnych. Przed wersją 0.5.1 parametr dangerouslyDisableSandbox był dostępny w schemacie wejściowym BashTool, co pozwalało na ustawienie go na true przez LLM, co w połączeniu z domyślnym ustawieniem allowUnsandboxedCommands: true umożliwiało wykonanie dowolnych poleceń poza piaskownicą.

CVE-2026-0611
Krytyczne

Wersje 10.5.x i wyższe oraz 11.x.x przed 11.6.0 systemu Spacelabs Healthcare Sentinel zawierają podatność na zdalne wykonanie kodu bez uwierzytelnienia poprzez przestarzały kanał HTTP .NET Remoting, wystawiony na porcie 8989. Atakujący mogą przeprowadzać operacje odczytu i zapisu plików, co pozwala na umieszczanie webshelli ASPX w katalogu wwwroot IIS.

CVE-2026-47117
Krytyczne

OpenMed w wersjach przed 1.5.2 zawiera podatność na zdalne wykonanie kodu w ścieżce ładowania modelu filtra prywatności PII. Dispatcher filtra prywatności stosował szerokie dopasowanie podciągów na parametrze model_name dostarczanym przez użytkownika, co pozwalało na przekierowanie do ścieżki ładującej modele Hugging Face z ustawieniem trust_remote_code=True.

CVE-2026-7312
Krytyczne

W wersjach Progress Sitefinity od 14.0.7700 do 14.4.8152 oraz od 15.0.8200 do 15.0.8234, 15.1.8300 do 15.1.8335, 15.2.8400 do 15.2.8441, 15.3.8500 do 15.3.8531 i 15.4.8600 do 15.4.8630 występuje podatność związana z niewystarczającą ochroną poświadczeń w usługach internetowych. Atakujący zdalny, nieautoryzowany może uzyskać dostęp do poświadczeń w postaci tekstu jawnego używanych do łączenia się z usługą Sitefinity Insight.

CVE-2026-7198
Krytyczne

CVE-2026-7198 dotyczy niewłaściwej kontroli dostępu w usługach internetowych Progress Sitefinity w wersjach przed 15.4.8630. Umożliwia to zdalnemu, nieautoryzowanemu atakującemu dostęp do treści, które powinny być zastrzeżone.

CVE-2026-10611
Krytyczne

W MISP występuje podatność na obejście uwierzytelnienia, gdy włączona jest mieszana autoryzacja LDAP z wymuszeniem OTP. Użytkownicy mogą uzyskać dostęp do aplikacji bez przechodzenia przez wymagany krok weryfikacji OTP.

CVE-2026-42684
Krytyczne

Podatność CVE-2026-42684 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL w wtyczce Ahmad WP Job Portal, co umożliwia atak typu Blind SQL Injection. Problem ten dotyczy wersji WP Job Portal od n/a do 2.5.1.

CVE-2026-34906
KrytyczneEPSS 60%

W Wirtualnej Uczelni występuje podatność typu Server-Side Template Injection (SSTI), która pozwala nieautoryzowanemu atakującemu na zdalne wykonanie kodu (RCE). W punkcie końcowym redirectToUrl oraz parametrze redirectUrlParameter niewystarczająca walidacja wejścia umożliwia wstrzykiwanie dowolnych wyrażeń szablonów, które są wykonywane na serwerze.

CVE-2025-53209
Krytyczne

Podatność związana z nieprawidłowym przypisaniem uprawnień w Themeisle Masteriyo LMS PRO umożliwia eskalację uprawnień. Problem dotyczy wersji Masteriyo LMS PRO od n/a do 2.20.0.

PoprzedniaStrona 56 z 559Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS