Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-53945
Średnie

Ghost to system zarządzania treścią oparty na Node.js. W wersjach od 6.0.9 do 6.21.1, sprawdzenie prywatnego adresu IP dla wychodzących żądań HTTP mogło być obejście za pomocą DNS rebinding, co pozwalało atakującemu na zmuszenie serwera Ghost do łączenia się z hostami w sieciach wewnętrznych.

CVE-2026-53944
Średnie

Ghost to system zarządzania treścią oparty na Node.js. W wersjach od 6.0.9 do 6.21.1 istnieje możliwość ominięcia filtra IP podczas wykonywania zewnętrznego żądania, co pozwala na skierowanie go do wewnętrznej usługi przy użyciu literału IPv6 odpowiadającego prywatnemu adresowi IPv4.

CVE-2026-49220
Średnie

Jellyfin, otwartoźródłowy serwer multimedialny, przed wersją 10.11.9 zawierał potencjalną podatność XSS, która pozwalała na wykonanie dowolnego kodu Javascript przez nieuprzywilejowanego użytkownika w kontekście zalogowanego użytkownika administracyjnego. Atak mógł wystąpić poprzez nagłówek Client podczas AuthenticateByName.

CVE-2026-13034
Średnie

Nieodpowiednia implementacja w systemie haseł w Google Chrome przed wersją 149.0.7827.197 umożliwiła zdalnemu atakującemu, który przejął proces renderowania, ominięcie izolacji witryn za pomocą spreparowanej strony HTML.

CVE-2026-13030
Średnie

Podatność w przeglądarce Google Chrome na Androidzie przed wersją 149.0.7827.197 wynika z użycia niezainicjalizowanej pamięci w module GPU. Zdalny atakujący może wykorzystać specjalnie spreparowaną stronę HTML do odczytu potencjalnie wrażliwych danych z pamięci procesu.

CVE-2026-13024
Średnie

Podatność w Google Chrome przed wersją 149.0.7827.197 wynika z niewystarczającej walidacji niezaufanych danych wejściowych w mechanizmie nawigacji. Umożliwia ona zdalnemu atakującemu, który przejął proces renderowania, ominięcie izolacji witryn za pomocą spreparowanej strony HTML.

CVE-2026-13023
Średnie

Podatność w Google Chrome przed wersją 149.0.7827.197 polega na użyciu niezainicjalizowanej pamięci w GPU. Zdalny atakujący, który przejął proces renderowania, może uzyskać potencjalnie wrażliwe informacje z pamięci procesu za pomocą spreparowanej strony HTML.

CVE-2026-13022
Średnie

Podatność w mechanizmie Autofill w przeglądarce Google Chrome przed wersją 149.0.7827.197 umożliwiała zdalnemu atakującemu, który przejął proces renderowania, wyciek danych między domenami za pomocą spreparowanej strony HTML.

CVE-2026-13021
Średnie

Podatność w implementacji DeviceBoundSessionCredentials w przeglądarce Google Chrome przed wersją 149.0.7827.197 umożliwiała zdalnemu atakującemu ominięcie polityki samego pochodzenia (same origin policy) za pomocą spreparowanej strony HTML. Problem został sklasyfikowany jako wysokiego ryzyka (High).

CVE-2026-12760
Średnie

Podatność DoS w kamerze Tapo C200 v3 wynika z nieprawidłowego obsługiwania pofragmentowanych pakietów IPv4. Nieuwierzytelniony atakujący z sąsiedztwa sieciowego może wysłać spreparowane pakiety, powodując nadmierne zużycie zasobów i niestabilność urządzenia.

CVE-2025-60471
Średnie

W bibliotece GPAC/MP4Box przed wersją 26.02.0 wykryto podatność use-after-free w funkcji gf_filter_pid_reconfigure_task_discard w pliku filter_pid.c. Atakujący może spowodować odmowę usługi (DoS) poprzez dostarczenie spreparowanego pliku multimedialnego.

CVE-2026-54686
Średnie

Warp to środowisko deweloperskie, które w wersjach od 0.2021.04.25.23.05.stable_00 do 0.2026.05.06.15.42.stable_01 akceptowało niezweryfikowane haki cyklu życia terminala z strumienia PTY. Atakujący mógł podszyć się pod wybrane metadane cyklu życia, co mogło prowadzić do ujawnienia wrażliwych informacji.

CVE-2026-48789
Średnie

Aplikacja AnythingLLM przed wersją 1.13.0 na systemie Windows pozwalała na wykorzystanie zakodowanej absolutnej ścieżki do folderu dokumentów, co mogło prowadzić do uzyskania dostępu do plików poza zamierzonym katalogiem dokumentów.

CVE-2026-44022
Średnie

Podatność w Doclingu od wersji 2.73.0 do 2.91.0 pozwala atakującym na odczyt dowolnych plików z systemu plików poprzez spreparowane dokumenty LaTeX. Brak walidacji ścieżek w komendach \includegraphics, \input i \include umożliwia sekwencje typu path traversal, co może prowadzić do wycieku poufnych danych.

CVE-2026-54905
Średnie

Podatność w bibliotece concurrent-ruby do wersji 1.3.6 pozwala na błędne przyznanie blokady zapisu po 32 768-krotnym uzyskaniu blokady odczytu przez ten sam wątek. Mechanizm przechowuje liczniki blokad w jednej liczbie całkowitej, gdzie 15 bitów odpowiada za licznik odczytu, a bit 15 za blokadę zapisu. Po przekroczeniu tej granicy licznik odczytu zajmuje bit blokady zapisu, co powoduje, że metoda try_write_lock błędnie informuje wątek o posiadaniu blokady zapisu bez ustawienia globalnego znacznika RUNNING_WRITER.

CVE-2026-53128
Średnie

W jądrze Linux w sterowniku DRBD wykryto brak równowagi w wywołaniach RCU w funkcji drbd_adm_dump_devices(). Funkcja wywołuje rcu_read_unlock() bez wcześniejszego wywołania rcu_read_lock(), co może prowadzić do nieprawidłowego działania mechanizmu RCU.

CVE-2026-53059
Średnie

W jądrze Linux wykryto podatność w module dm log, gdzie zmienna region_count typu unsigned int (32-bit) może przepełnić się podczas obliczeń z użyciem dm_sector_div_up() zwracającej sector_t (64-bit). Prowadzi to do alokacji zbyt małych buforów pamięci i zapisów poza zakresem sterty jądra.

CVE-2026-50712
Średnie

W Frappe Framework w wersji 17.0.0-dev występuje podatność na przechowywane ataki Cross-Site Scripting (XSS) z powodu niewłaściwego neutralizowania danych wejściowych kontrolowanych przez użytkownika w komponencie frappe.ui.Tree.

CVE-2026-50711
Średnie

W Frappe Framework w wersji 17.0.0-dev występuje podatność typu Stored Cross-Site Scripting (XSS) spowodowana niewłaściwym neutralizowaniem danych wejściowych kontrolowanych przez użytkownika w komponencie Number Card.

CVE-2026-50710
Średnie

W Frappe Framework w wersji 17.0.0-dev występuje podatność typu Stored Cross-Site Scripting (XSS) spowodowana niebezpieczną ewaluacją danych kontrolowanych przez użytkownika w komponencie Number Card.

PoprzedniaStrona 65 z 533Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS