Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-33642
Krytyczne

W wersjach 0.46.2 i poniżej funkcja handle_compose_command() w kitty/graphics.c wykonuje walidację granic na przesunięciach kompozycji, co może prowadzić do nadpisania lub odczytu pamięci w stercie. Atakujący mogą wykorzystać to, dostarczając spreparowane wartości x_offset/y_offset, które po owinięciu przechodzą walidację, ale powodują dostęp do pamięci poza granicami.

CVE-2026-8605
Krytyczne

W wersji 1.2.0 ScadaBR występuje podatność związana z użyciem twardo zakodowanych poświadczeń, co może umożliwić atakującemu dostęp do systemu SCADA jako administrator.

CVE-2026-8603
Krytyczne

W wersji 1.2.0 ScadaBR występuje podatność na wstrzyknięcie poleceń systemowych, która może umożliwić atakującemu wykonywanie poleceń jako root w systemie SCADA.

CVE-2026-8602
Krytyczne

W wersji 1.2.0 ScadaBR występuje podatność związana z brakiem uwierzytelnienia dla krytycznych funkcji, co może pozwolić nieautoryzowanemu atakującemu na wysyłanie żądań HTTP GET do systemu SCADA oraz wstrzykiwanie dowolnych odczytów czujników.

CVE-2026-36829
Krytyczne

W podatności CVE-2026-36829 występuje możliwość ominięcia uwierzytelnienia w wbudowanym serwerze HTTP urządzenia Panabit PAP-XM320 w wersjach do 7.7. Serwer weryfikuje ciasteczka sesyjne na podstawie wartości kontrolowanej przez użytkownika, co prowadzi do możliwości przejścia do innych katalogów oraz ominięcia uwierzytelnienia.

CVE-2026-37281
Krytyczne

W podatności CVE-2026-37281 występuje możliwość wstrzyknięcia poleceń systemowych w trasie /stream-to-vlc w hitarth-gg Zenshin przed wersją 2.7.0, co pozwala zdalnym atakującym na wykonywanie dowolnych poleceń za pomocą parametru url.

CVE-2026-31072
KrytyczneEPSS 52%

Podatność w bibliotece APScheduler umożliwia zdalne wykonanie kodu (RCE) poprzez niezabezpieczoną deserializację w klasach JSONSerializer i CBORSerializer. Funkcja unmarshal_object pozwala na dowolną inicjalizację klas i wstrzykiwanie stanu przez dynamiczne importowanie modułów i wywoływanie __setstate__ na dowolnej klasie dostępnej w środowisku Python.

CVE-2026-31071
Krytyczne

W systemie zarządzania apteką LalanaChami (commit 5c3d028) punkty końcowe API nie mają middleware autoryzacji. To pozwala nieautoryzowanym atakującym zdalnie na wyciek wszystkich rekordów użytkowników oraz modyfikację zapasów leków.

CVE-2026-31070
Krytyczne

System zarządzania apteką LalanaChami (commit 5c3d028) umożliwia nieautoryzowanym atakującym zdalne podniesienie uprawnień poprzez samodzielne przypisanie roli administratora podczas rejestracji. Punkt końcowy /api/user/signup nie weryfikuje parametru roli w ciele żądania.

CVE-2026-30118
Krytyczne

W wersji 0.1.13 biblioteki scalar/astro odkryto podatność typu Server-Side Request Forgery (SSRF) w parametrze zapytania scalar_url punktu końcowego Scalar Proxy. Umożliwia to nieautoryzowanym atakującym wymuszenie na serwerze backendowym wysyłania żądań HTTP do kontrolowanych przez atakującego adresów URL.

CVE-2026-30117
Krytyczne

W wersji 0.1.13 biblioteki scalar/astro odkryto podatność na nieautoryzowane przesyłanie plików w parametrze zapytania scalar_url punktu końcowego Scalar Proxy. Umożliwia to atakującym wykonanie dowolnego kodu poprzez przesłanie spreparowanego pliku SVG.

CVE-2026-44159
Krytyczne

Tyler Identity Local (TID-L) używa udokumentowanych, domyślnych danych uwierzytelniających dla administratorów. Użytkownicy nie są zobowiązani do zmiany tych danych przed wdrożeniem.

CVE-2026-2587
Krytyczne

Krytyczna podatność zdalnego wykonania kodu (RCE) w mechanizmie renderowania szablonów serwera Glassfish. Aplikacja przetwarza pliki .xml i ocenia wyrażenia EL bez odpowiedniej sanityzacji, co pozwala atakującemu na zdalne przejęcie kontroli nad hostem.

CVE-2026-2586
KrytyczneEPSS 53%

W aplikacji GlassFish Administration Console wykryto podatność umożliwiającą zdalne wykonanie kodu (RCE) przez uwierzytelnionego użytkownika. Osoba z dostępem do panelu może wysłać spreparowane żądania, które pozwalają na wykonanie dowolnych poleceń systemu operacyjnego z uprawnieniami użytkownika usługi.

CVE-2026-8959
Krytyczne

Podatność CVE-2026-8959 dotyczy błędu w warunkach granicznych w komponencie Widget: Win32, co umożliwia ucieczkę z piaskownicy. Została naprawiona w wersjach Firefox 151, Firefox ESR 140.11, Thunderbird 151 oraz Thunderbird 140.11.

CVE-2026-8956
Krytyczne

Przepełnienie całkowitej liczby w komponencie sieciowym JAR. Ta podatność została naprawiona w Firefox 151, Firefox ESR 140.11, Thunderbird 151 oraz Thunderbird 140.11.

CVE-2026-8953
Krytyczne

Podatność typu 'sandbox escape' występuje z powodu błędu 'use-after-free' w komponencie API dostępu dla osób z niepełnosprawnościami. Została naprawiona w wersjach Firefox 151, Firefox ESR 115.36, Firefox ESR 140.11, Thunderbird 151 oraz Thunderbird 140.11.

CVE-2026-8950
Krytyczne

Podatność umożliwiająca obejście polityki tego samego pochodzenia w komponencie Networking: HTTP. Została naprawiona w Firefox 151, Firefox ESR 140.11, Thunderbird 151 oraz Thunderbird 140.11.

CVE-2026-8948
Krytyczne

Podatność w komponencie DOM: Networking umożliwia obejście polityki same-origin. Luka została naprawiona w przeglądarce Firefox 151 i kliencie poczty Thunderbird 151.

CVE-2026-47323
KrytyczneEPSS 70%

Podatność w Apache Camel dotyczy braku filtrowania przychodzących nagłówków w implementacjach CXF i Knative. Niezautoryzowany atakujący może wstrzyknąć wewnętrzne nagłówki Camel (np. CamelExecCommandExecutable, CamelFileName) przez żądania HTTP do punktów końcowych CXF-RS lub CXF-SOAP, co przy przekazywaniu wiadomości do komponentów sterowanych nagłówkami (np. camel-exec, camel-file) umożliwia zdalne wykonanie kodu lub zapis dowolnych plików.

PoprzedniaStrona 68 z 542Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS