Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-57872
WysokieEPSS 57%

W urządzeniach GeoVision GV-LPC2011 i GV-LPC2211 w wersji V1.12 i wcześniejszych wykryto podatność na nieuwierzytelniony atak typu directory traversal w komponencie get_fcont.cgi. Luka wynika z niewystarczającej walidacji ścieżki pliku podanej przez użytkownika przed uzyskaniem dostępu do żądanego pliku przez CGI. Zdalny atakujący może wysłać spreparowane żądanie w celu odczytu dowolnych plików dostępnych dla procesu, co prowadzi do ujawnienia informacji.

CVE-2026-49486
Wysokie

Podatność w Apache Airflow FTP provider powoduje, że połączenie FTPS nie szyfruje kanału danych. Mimo że kanał kontrolny jest chroniony TLS, dane przesyłane są w postaci jawnej, co umożliwia atakującemu w sieci przechwycenie treści plików i poświadczeń.

CVE-2026-2053
Wysokie

Podatność w komponencie przepływu wiadomości WSO2 API Manager pozwala nieuwierzytelnionemu atakującemu na manipulację nagłówkami WS-Addressing. Brak odpowiedniej walidacji tych nagłówków umożliwia przekierowanie żądań inicjowanych przez serwer do dowolnych, zewnętrznych lokalizacji.

CVE-2026-10835
Wysokie

Wtyczka SALESmanago & Leadoo dla WordPress przed wersją 3.11.3 nieprawidłowo oczyszcza i nie koduje parametru przekazywanego do jednej z akcji AJAX przed użyciem go w zapytaniu SQL, a także nie egzekwuje autoryzacji dla tej akcji, co pozwala uwierzytelnionym użytkownikom z minimalnymi uprawnieniami, takimi jak subskrybenci, na przeprowadzanie ataków SQL Injection.

CVE-2026-10823
Wysokie

Wtyczka YMC Filter dla WordPressa przed wersją 3.11.3 nie autoryzuje poprawnie dostępu do jednego z endpointów REST API oraz nie waliduje parametru zapytania podanego przez użytkownika. Umożliwia to nieuwierzytelnionym atakującym odczytanie tytułów i treści prywatnych, szkiców oraz innych niepublicznych wpisów.

CVE-2026-8797
Wysokie

W produkcie ExpressUpdate Agent dla systemu Windows wykryto lukę związaną z niewystarczającą kontrolą dostępu. Osoba atakująca, która uzyska dostęp do oprogramowania, może wykorzystać tę podatność do wykonania dowolnego kodu z uprawnieniami SYSTEM.

CVE-2026-50741
Wysokie

Podatność CVE-2026-50741 omija poprawkę dla CVE-2026-34916. Atakujący może ominąć zabezpieczenie, wysyłając niedozwolony, ale poprawny identyfikator wtyczki jako typ lub używając metody XML-RPC `ox.setChannelTargeting`.

CVE-2026-48933
WysokieEPSS 83%

Błąd w implementacji WebCrypto w Node.js powoduje awarię procesu, gdy dane wejściowe funkcji `subtle.encrypt()` mają rozmiar będący wielokrotnością 2 GiB. Podatność dotyczy wszystkich wspieranych linii wydań: Node.js 22, Node.js 24 i Node.js 26.

CVE-2026-48619
Wysokie

Błąd w kliencie HTTP/2 Node.js umożliwia serwerowi wysłanie nieograniczonej liczby ramek ORIGIN, co może prowadzić do błędu braku pamięci (Out of Memory) po stronie klienta. Podatność dotyczy wszystkich wspieranych linii wydań: Node.js 22, Node.js 24 oraz Node.js 26.

CVE-2026-48615
Wysokie

Błąd w obsłudze błędów tunelu proxy w Node.js może ujawnić poświadczenia proxy w komunikatach błędów `ERR_PROXY_TUNNEL`. Gdy poświadczenia są osadzone w adresie URL proxy, mogą zostać ujawnione przez ścieżki obsługi błędów i przechwycone przez logi, diagnostykę lub inne mechanizmy konsumujące błędy.

CVE-2026-9222
Wysokie

Aplikacja Setracker2 Android Companion App (com.tgelec.setracker) w wersjach 3.1.5 i wcześniejszych wymaga jedynie skrótu hasła podczas uwierzytelniania w usługach backendowych z poziomu klienta. Osoba atakująca, znająca ten skrót, może się uwierzytelnić i uzyskać pełny dostęp.

CVE-2026-9221
Wysokie

Aplikacja Setracker2 Android Companion App (com.tgelec.setracker) w wersjach 3.1.5 i wcześniejszych używa algorytmu MD5 do generowania sygnatury żądań uwierzytelniających komunikację między klientem mobilnym a backendowym API REST. Atakujący mogą potencjalnie odwrócić sygnaturę, aby odzyskać identyfikator sesji.

CVE-2026-9220
Wysokie

Aplikacja Setracker2 Android Companion App w wersjach 3.1.5 i starszych szyfruje komunikację między zegarkiem a backendem przy użyciu statycznych, zakodowanych na stałe kluczy AES i wektorów inicjalizujących. Umożliwia to atakującemu odszyfrowanie ruchu sieciowego pochodzącego z zegarka Setracker2.

CVE-2026-40083
Wysokie

W Cacti w wersjach 1.2.30 i wcześniejszych odkryto podatność na iniekcję SQL w pliku managers.php. Problem wynika z braku walidacji danych po deserializacji tablicy przekazanej do zapytania DELETE, co umożliwia atakującemu z uprawnieniami zarządzania agentem SNMP wykonanie dowolnych poleceń SQL.

CVE-2026-8720
Wysokie

W bibliotece wolfSSL w funkcjach wc_Blake2bHmacFinal i wc_Blake2sHmacFinal występuje błąd polegający na odrzuceniu wiadomości, gdy długość klucza przekracza rozmiar bloku BLAKE2. Powoduje to wygenerowanie kodu MAC niezależnego od wejściowej wiadomości, co narusza bezpieczeństwo uwierzytelniania.

CVE-2026-7532
Wysokie

Podatność w bibliotece wolfSSL umożliwia pominięcie ograniczeń nazw adresów IP, gdy makro WOLFSSL_IP_ALT_NAME nie jest zdefiniowane. W takiej konfiguracji certyfikat może naruszyć ograniczenia adresów IP nałożone przez urząd certyfikacji.

CVE-2026-7511
Wysokie

Podatność w funkcji PKCS7_verify umożliwia pomylenie podpisującego, co pozwala na akceptację sfałszowanych podpisów. Brak prawidłowego powiązania podpisu z jego autorem prowadzi do obejścia mechanizmów weryfikacji.

CVE-2026-6331
Wysokie

Podatność w funkcji EVP_DigestVerifyFinal umożliwia fałszowanie tagów HMAC o zerowej długości. W ścieżce weryfikacji HMAC zgodnej z OpenSSL sprawdzano jedynie, czy długość dostarczonego podpisu nie przekracza długości MAC, co pozwalało na akceptację tagów o zerowej długości lub obciętych. Poprawka wymaga, aby długość dostarczonego tagu była dokładnie równa długości MAC i odrzuca tagi o zerowej długości.

CVE-2026-6325
Wysokie

Podatność umożliwia zapis poza dozwolonym obszarem pamięci w funkcji SetSuitesHashSigAlgo podczas przetwarzania zbyt długiej listy algorytmów podpisu, co może prowadzić do przepełnienia bufora docelowego.

CVE-2026-54479
Wysokie

Podatność w backendzie WebSocket pozwala na przewidywalne identyfikatory sesji, ponieważ wiele punktów końcowych może łączyć się z tym samym identyfikatorem sesji. Umożliwia to nieautoryzowanym użytkownikom podszywanie się pod innych lub przeprowadzenie ataku DoS poprzez przeciążenie backendu prawidłowymi żądaniami sesji.

PoprzedniaStrona 69 z 3362Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS