Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-48940
Niskie

Użytkownik Joomla z uprawnieniami K2 do tworzenia elementów (domyślnie rola Autora) może przesłać artykuł, w którym pole POST `embedVideo` zawiera surowy znacznik `<script>`. K2 przechowuje go dosłownie i wyświetla bez kodowania każdemu odwiedzającemu stronę artykułu.

CVE-2026-57588
Niskie

Podatność SQL injection w Nessus umożliwia atakującemu stworzenie złośliwego pliku wyników skanowania, który po zaimportowaniu przez uprzywilejowanego użytkownika wstrzykuje złośliwy kod SQL do bazy danych wyników skanowania, potencjalnie umożliwiając wyciek danych tych wyników.

CVE-2026-57535
Niskie

Podatność umożliwia wstrzyknięcie treści HTML, w tym znaczników <img>, do kontekstów renderowania PDF. Jeśli atrybut src takiego obrazu wskazuje na adres URL, silnik renderujący PDF pobiera obraz z tego miejsca i wyświetla go, co prowadzi do wycieku informacji o serwerze renderującym oraz potencjalnie stwarza wektor SSRF w sieci lokalnej.

CVE-2026-57534
Niskie

Wtyczka pretix-pages umożliwia wstrzyknięcie złośliwego kodu HTML do treści strony. Atakujący może wykorzystać tę podatność do umieszczenia niebezpiecznych treści na stronie.

CVE-2026-57533
Niskie

Podatność umożliwia wstrzyknięcie złośliwego kodu HTML na stronę wyświetlaną przez pretix podczas przekierowania do niezaufanej lokalizacji. Ze względu na zastosowaną politykę bezpieczeństwa treści (CSP), atak może być wykorzystany głównie do celów phishingowych.

CVE-2026-57234
Niskie

Podatność w bibliotece Nokogiri dla języka Ruby dotyczy nieprawidłowego egzekwowania opcji NONET w implementacji JRuby. Opcja ta, domyślnie włączona dla Nokogiri::XML::Schema (zgodnie z CVE-2020-26247), nie zapobiegała pobieraniu zasobów zewnętrznych przez sieć podczas parsowania schematu, co mogło prowadzić do ataków SSRF lub XXE. Problem został naprawiony w wersji 1.19.4.

CVE-2026-13314
Niskie

Wtyczka pretix-digital jest podatna na wstrzykiwanie złośliwego kodu HTML do renderowanej treści. Atakujący może wykorzystać tę lukę do osadzenia dowolnego kodu HTML, co może prowadzić do ataków typu cross-site scripting (XSS).

CVE-2026-12755
Niskie

Podatność w Devolutions Server w wersjach 2026.2.4.0 do 2026.2.7.0 umożliwia uwierzytelnionemu użytkownikowi z uprawnieniem UserGroupsView wymuszenie uwierzytelnienia po stronie serwera na kontrolowanym przez atakującego hoście. Poprzez spreparowany parametr DomainName w punktach końcowych wykrywania PAM AD, atakujący może przechwycić dane uwierzytelniające dostawcy PAM w postaci odpowiedzi wyzwania NTLMv2.

CVE-2026-42004
Niskie

Podatność pozwala atakującemu na wysłanie spreparowanego rekordu EDNS OPT, który zostanie zignorowany przez reguły filtrowania DNSdist, ale po wstawieniu EDNS Client Subnet zostanie przepisany jako prawidłowy rekord OPT, przez co backend zobaczy opcje EDNS, które DNSdist nie przefiltrował.

CVE-2026-40208
Niskie

Atakujący może opóźnić przetwarzanie zapytań DoH3, wysyłając zapytania GET DoH3 z nieprawidłową ramką DATA.

CVE-2026-40011
Niskie

Atakujący wysyłający dużą liczbę spreparowanych zapytań DNS może spowodować wstawienie dynamicznego bloku z wartością, która generuje nieprawidłowe dane w punkcie końcowym Prometheus. Punkt końcowy Prometheus będzie następnie odrzucany przez scraper aż do wygaśnięcia dynamicznego bloku.

CVE-2026-56130
Niskie

Podatność w Apache Shiro polega na braku weryfikacji wieku ciasteczka 'Remember me' po stronie serwera. Umożliwia to atakującemu przechwycenie ważnego ciasteczka i jego nieograniczone ponowne wykorzystanie, nawet po upływie skonfigurowanego czasu wygaśnięcia. Problem dotyczy wersji od 1.2.4 do 2.x oraz 3.0.0-alpha-1, gdy włączona jest funkcja RememberMe.

CVE-2026-45188
Niskie

Podatność typu Relative Path Traversal w Apache Kvrocks umożliwia atakującemu dostęp do plików poza zamierzonym katalogiem. Problem dotyczy wersji od 1.0.0 do 2.15.0.

CVE-2026-3176
Niskie

W GitLab EE wykryto podatność, która w określonych warunkach umożliwiała uwierzytelnionemu użytkownikowi z ograniczonymi uprawnieniami dostęp do informacji o projekcie z powodu niewystarczających kontroli autoryzacji. Problem dotyczy wszystkich wersji od 18.6 do 18.11.6, 19.0 do 19.0.3 oraz 19.1 do 19.1.1.

CVE-2026-0934
Niskie

W GitLab EE wykryto podatność, która w określonych warunkach umożliwiała uwierzytelnionemu użytkownikowi z niestandardowymi uprawnieniami roli przeglądanie, tworzenie lub usuwanie konfiguracji chronionego środowiska, mimo że widoczność CI/CD była wyłączona dla projektu.

CVE-2026-8662
Niskie

Podatność Path Traversal w funkcji create_archive wtyczki Compression InsightConnect firmy Rapid7 na systemie Linux umożliwia uwierzytelnionym atakującym zapis do nieprzewidzianych ścieżek plików poprzez spreparowaną nazwę pliku. Wpływ jest ograniczony do uszkodzenia plików, ponieważ atakujący nie kontroluje ich zawartości.

CVE-2026-49979
Niskie

W Appsmith przed wersją 1.99, endpoint POST /api/v1/admin/send-test-email akceptuje kontrolowane przez atakującego wartości smtpHost i smtpPort, nawiązując surowe połączenie TCP JavaMail bez walidacji IP. Obejście to całkowicie pomija filtr IP WebClientUtils, który dotyczy tylko żądań HTTP Spring WebClient. Ponadto, surowy komunikat MailException.getMessage() jest zwracany w odpowiedzi API, co umożliwia skanowanie portów i enumerację bannerów usług na podstawie błędów.

CVE-2026-39894
Niskie

W Cacti w wersjach 1.2.30 i starszych, funkcja rrdtool_function_update() używa lokalnie zależnego formatowania dziesiętnego, co może powodować uszkodzenie wartości metryk RRDtool. Gdy lokalizacja serwera używa przecinka jako separatora dziesiętnego (np. de_DE), wartość 1.5 jest konwertowana na „1,5”, podczas gdy RRDtool oczekuje kropki. Prowadzi to do przesunięcia danych do niewłaściwych kolumn lub ich cichego pominięcia.

CVE-2026-52796
Niskie

Gogs przed wersją 0.14.3 zawiera podatność na atak DoS polegającą na panicznym zakończeniu działania podczas renderowania specjalnie spreparowanego wzorca indeksu zgłoszenia. Brak domknięcia nawiasu klamrowego w konfiguracji powoduje błąd w funkcji RenderIssueIndexPattern, co uniemożliwia dostęp do stron zawierających odwołania do zgłoszeń.

CVE-2026-49277
Niskie

Podatność w Rocket.Chat przed wersjami 8.5.0, 8.4.2, 8.3.4, 8.2.4, 8.1.5, 8.0.6, 7.13.8 i 7.10.12 polega na braku unieważnienia tokenów OAuth (zarówno access, jak i refresh) po dezaktywacji użytkownika. Dezaktywowany użytkownik może nadal używać istniejącego tokena dostępu lub wygenerować nowy token na podstawie posiadanego tokena odświeżania.

PoprzedniaStrona 6 z 63Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS