Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-25712
Niskie ryzyko· EPSS 5%

W Gitea przed wersją 1.25.5 wykryto niedostateczne sprawdzanie widoczności w interfejsach API uprawnień organizacji, co umożliwia ujawnienie ukrytych członków oraz prywatnych organizacji.

CVE-2026-25038
Niskie ryzyko· EPSS 10%

W Gitea 1.26.2 nieautoryzowani użytkownicy mogą uzyskać dostęp do etykiet prywatnych organizacji. Podatność ta umożliwia wyciek informacji o etykietach, które powinny być dostępne tylko dla członków organizacji.

CVE-2026-24690
Niskie ryzyko· EPSS 5%

Podatność w Gitea przed wersją 1.25.5 wynika z niewystarczającego sprawdzania uprawnień podczas aktualizacji lub przebazowywania gałęzi żądań pull. Umożliwia to nieautoryzowanym użytkownikom modyfikowanie gałęzi bez odpowiednich uprawnień.

CVE-2026-24451
Niskie ryzyko· EPSS 10%

Podatność w Gitea 1.26.2 umożliwia kontynuację synchronizacji forka po zmianie repozytorium nadrzędnego z publicznego na prywatne, co prowadzi do nieautoryzowanego dostępu do danych.

CVE-2026-22874
Krytyczne

Podatność CVE-2026-22874 dotyczy Gitea w wersjach do 1.26.2 włącznie. Mechanizm ochrony przed SSRF (Server-Side Request Forgery) w filtrach list dozwolonych dla webhooków i migracji jest niekompletny, co może pozwolić atakującemu na ominięcie zabezpieczeń.

CVE-2026-22555
Wysokie

Podatność w Gitea przed wersją 1.26.0 umożliwia użytkownikom API forkowanie repozytorium do organizacji bez przejścia kontroli CanCreateOrgRepo, co może ujawnić tajemnice organizacji.

CVE-2026-22547
Niskie ryzyko· EPSS 6%

W Gitea przed wersją 1.25.5 brakuje walidacji ograniczeń dla pól tworzenia repozytorium, w tym pól szablonów z limitem długości oraz wartości modelu zaufania lub formatu obiektu.

CVE-2026-20909
Niskie ryzyko· EPSS 5%

Wersje Gitea starsze niż 1.25.5 zawierają niewystarczające sprawdzanie uprawnień podczas wyświetlania listy wpisów czasu śledzonego. Osoba atakująca może uzyskać dostęp do danych czasowych innych użytkowników bez odpowiednich uprawnień.

CVE-2026-20896
KrytyczneEPSS 52%

Obraz Dockera Gitea w wersjach do 1.26.2 domyślnie ustawia zmienną REVERSE_PROXY_TRUSTED_PROXIES=*, co pozwala dowolnemu źródłowemu adresowi IP na podszywanie się pod użytkownika, gdy włączone są nagłówki uwierzytelniania reverse proxy, takie jak X-WEBAUTH-USER.

CVE-2026-20779
Wysokie

Podatność w Gitea w wersjach od 1.5.0 do 1.26.2 pozwala na wielokrotne użycie tego samego kodu TOTP w procesie uwierzytelniania dwuskładnikowego przez web oraz Basic Auth z nagłówkiem X-Gitea-OTP.

CVE-2026-20706
Niskie ryzyko· EPSS 17%

Podatność w Gitea do wersji 1.26.1 włącznie umożliwia pobieranie archiwów repozytoriów z pominięciem kontroli zakresu tokena na punkcie końcowym pobierania archiwów przez WWW.

CVE-2026-14611
Średnie

W komponencie Per-Project Auto-Memory Handler projektu DeepMyst Mysti do wersji 0.4.0 wykryto podatność polegającą na ujawnieniu zasobów poprzez manipulację argumentem workspacePath w funkcji initProjectMemory pliku MemoryManager.ts. Atak może być przeprowadzony zdalnie.

CVE-2026-14610
Średnie

W bibliotece Open Asset Import Library Assimp do wersji 6.0.5 wykryto podatność w funkcji Assimp::CSMImporter::InternReadFile w pliku CSMLoader.cpp. Błąd prowadzi do przepełnienia bufora sterty podczas przetwarzania plików CSM. Atak wymaga lokalnego dostępu i został już opublikowany exploit.

CVE-2026-14609
Średnie

W systemie SourceCodester CET Automated Grading System z AI Predictive Analytics 1.0 wykryto podatność na fiksację sesji. Problem wynika z nieprawidłowego przetwarzania danych, co pozwala atakującemu na narzucenie sesji użytkownikowi. Atak jest zdalny, ale wymaga wysokiego poziomu złożoności i jest oceniany jako trudny do wykorzystania.

CVE-2026-12481
Wysokie

W bibliotece Keras w wersji 3.14.0 wykryto podatność umożliwiającą zdalne wykonanie kodu. Problem wynika z nieprawidłowej obsługi deserializacji w warstwie `Lambda`, gdzie funkcja `_raise_for_lambda_deserialization()` nie egzekwuje trybu bezpiecznego, gdy `safe_mode` ma wartość `None` (domyślną). Powoduje to pominięcie zabezpieczeń i umożliwia deserializację złośliwego kodu bajtowego `marshal`.

CVE-2026-14608
Średnie

W systemie SourceCodester CET Automated Grading System z AI Predictive Analytics 1.0 wykryto podatność polegającą na obejściu autoryzacji. Problem występuje w pliku /index.php?action=view_student, gdzie manipulacja argumentem ID pozwala na nieautoryzowany dostęp.

CVE-2026-14607
Średnie

W systemie RT-Thread do wersji 5.0.2 wykryto słabość w funkcji sys_getaddrinfo w pliku components/lwp/lwp_syscall.c. Manipulacja argumentem ai_addr może prowadzić do uszkodzenia pamięci. Atak wymaga dostępu lokalnego i jest publicznie dostępny.

CVE-2026-14606
Wysokie

W bibliotece RT-Thread do wersji 5.0.2 wykryto podatność w funkcji CAN_Receive w pliku SWM341.h komponentu SWM341 CAN Handler. Lokalny atakujący może wywołać przepełnienie bufora na stosie poprzez manipulację danymi. Publicznie dostępny exploit umożliwia przeprowadzenie ataku.

CVE-2026-14605
Wysokie

W bibliotece RT-Thread do wersji 5.0.2 wykryto podatność w funkcji recvmsg w pliku ls1c_can.h komponentu ls1c CAN Handler. Problem prowadzi do przepełnienia bufora na stosie, co może umożliwić lokalnemu atakującemu wykonanie kodu lub spowodować awarię systemu. Exploit jest publicznie dostępny, a producent nie odpowiedział na zgłoszenie.

CVE-2026-58379
Wysokie

W parserze formatu Paint Shop Pro (PSP) w GIMP-ie wykryto podatność na przepełnienie bufora sterty. Błąd wynika z nieprawidłowego obliczania rozmiarów buforów podczas przetwarzania obrazów o niskiej głębi bitowej, co umożliwia zdalnemu atakującemu wykonanie dowolnego kodu lub wywołanie odmowy usługi (DoS) poprzez nakłonienie użytkownika do otwarcia specjalnie spreparowanego pliku PSP.

PoprzedniaStrona 6 z 4426Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS