Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-48794
Niskie

W wersjach 4.36.0 do 4.39.19 Authelia może pominąć regułę kontroli dostępu w specyficznych przypadkach braku kanonizacji domen. Atakujący może wykorzystać tę lukę, aby uzyskać dostęp do zasobów, które powinny być chronione.

CVE-2026-47203
Niskie

Wersje Authelia od 4.38.0 do 4.39.19 mają problem z obsługą wielkości liter w nazwach użytkowników podczas uwierzytelniania przez Basic Auth. W wyniku tego, różne warianty wielkości liter mogą prowadzić do tworzenia oddzielnych bucketów banów dla tego samego użytkownika.

CVE-2026-49358
Niskie

PhpWeasyPrint to biblioteka PHP umożliwiająca generowanie PDF z URL lub strony HTML. W wersjach przed 2.6.0, publiczna tablica `AbstractGenerator::$temporaryFiles` pozwala na usunięcie plików tymczasowych bez weryfikacji, co może prowadzić do nieautoryzowanego usunięcia plików.

CVE-2026-9143
Niskie

Podatność w NI grpc-device wynika z nieprawidłowej konwersji między typami numerycznymi w komponencie CodeGen, spowodowanej brakiem kontroli zakresu. Może to prowadzić do cichego odrzucania starszych bitów, jeśli wartość rozmiaru przekroczy zakres docelowego typu.

CVE-2026-12047
Niskie

Podatność HTML injection w module chmurowym pgAdmin 4 umożliwia wstrzyknięcie kodu HTML przez sfałszowane dane uwierzytelniające. Błąd występuje w punktach końcowych /rds/, /azure/, /google/ oraz /cloud/, gdzie komunikaty błędów z SDK AWS/Azure/Google są zwracane w JSON bez kodowania HTML, a następnie renderowane przez frontend Cloud Wizard. Uwierzytelniony użytkownik może wstrzyknąć złośliwy iframe, który przekierowuje ofiarę na zewnętrzną stronę.

CVE-2026-8668
Niskie

W Chef 360 przed wersją 1.7.0 znajdowało się statyczne poświadczenie, które umożliwiało nieautoryzowany dostęp do wewnętrznych kolejek wiadomości. Wiadomości w kolejkach zawierały identyfikatory specyficzne dla najemców.

CVE-2026-48617
Niskie

W Node.js występuje luka w egzekwowaniu modelu uprawnień, która pozwala na obejście zabezpieczeń poprzez niewłaściwe sprawdzenie ścieżki w funkcji `process.report.writeReport()`. Może to prowadzić do naruszenia poufności lub obejścia zamierzonych granic bezpieczeństwa w dotkniętych konfiguracjach.

CVE-2026-40457
Niskie

W systemie LMS (LAN Management System) przed commit 9c5651b występuje podatność typu Reflected Cross-Site Scripting (XSS) w modułach 'dbrecover.php' i 'netremap.php', gdzie niesanitizowane parametry GET są bezpośrednio osadzane w wyjściu HTML. Umożliwia to atakującemu wstrzyknięcie dowolnego kodu JavaScript po kliknięciu w spreparowany link przez uwierzytelnionego użytkownika.

CVE-2026-12102
Niskie

Wtyczka UsersWP do WordPressa jest podatna na nieautoryzowany dostęp do obiektów w wersjach do 1.2.63 włącznie. Atakujący z dostępem na poziomie edytora mogą zresetować lub trwale usunąć awatar lub obrazek banera dowolnego użytkownika.

CVE-2026-50268
Niskie

W wersjach 4.0.0 do 4.1.0 biblioteki Steeltoe.Configuration.Encryption, konfiguracja `encrypt:rsa:algorithm=OAEP` nie włącza szyfrowania OAEP z powodu błędnego ciągu transformacji BouncyCastle. Ustawienie `OAEP` wybiera algorytm PKCS#1 v1.5, co jest równoważne ustawieniu `DEFAULT`.

CVE-2026-12567
Niskie

Moduł github_workflows tworzy lokalne ścieżki katalogów z nazw repozytoriów kontrolowanych przez użytkownika, nie weryfikując symlinków. Lokalny atakujący może umieścić symlink w przewidywalnej ścieżce wyjściowej, co pozwala na zapisanie danych workflow w wybranej przez atakującego lokalizacji.

CVE-2026-12566
Niskie

Moduł docker_pull wykorzystuje parametr realm z nagłówka WWW-Authenticate rejestru Docker jako punkt końcowy uwierzytelniania bez walidacji. Atakujący w pozycji man-in-the-middle może zmodyfikować ten nagłówek, aby przekierować żądanie uwierzytelnienia do dowolnego punktu końcowego, co może prowadzić do wycieku tokenów uwierzytelniających.

CVE-2024-24769
Niskie

W wersjach przed 5.0.0, użytkownicy mogą resetować swoje tokeny MFA za pomocą tras API, które wysyłają im e-maile. Liczba wysyłanych e-maili nie jest ograniczona, co pozwala atakującym na zalewanie skrzynek pocztowych użytkowników.

CVE-2026-6733
Niskie

Klient HTTP/1.1 biblioteki Undici jest podatny na zatrucie kolejki odpowiedzi na ponownie używanych gniazdach keep-alive. Złośliwy serwer może wstrzyknąć niechcianą odpowiedź HTTP/1.1 na bezczynne gniazdo, co powoduje, że odpowiedzi są dostarczane do niewłaściwych żądań.

CVE-2026-39199
Niskie

snes9x w wersji 1.63 pozwala na zapis poza granicami pamięci oraz powoduje odmowę usługi poprzez spreparowany plik .ups.

CVE-2026-11525
Niskie

Podatność w bibliotece undici polega na nieprawidłowym parsowaniu atrybutu SameSite w nagłówkach Set-Cookie. Biblioteka akceptuje dowolną wartość zawierającą podciąg 'Strict', 'Lax' lub 'None', zamiast wymaganego przez RFC 6265 dokładnego dopasowania bez względu na wielkość liter. Może to prowadzić do przypisania słabszej polityki SameSite, np. wartość 'NoneOfYourBusiness' jest interpretowana jako 'None' (najbardziej permisywne ustawienie).

CVE-2026-35068
Niskie

Podatność SQL Injection w Dell PowerFlex Manager w wersjach przed 5.1.0.1 umożliwia atakującemu o niskich uprawnieniach z dostępem do sieci sąsiedniej potencjalne wykorzystanie luki, co może prowadzić do ujawnienia poufnych informacji z bazy danych.

CVE-2026-12458
Niskie

Nieodpowiednia implementacja w zarządzaniu hasłami w Google Chrome przed wersją 149.0.7827.155 umożliwiła zdalnemu atakującemu, który przekonał użytkownika do wykonania określonych gestów interfejsu użytkownika, wyciek danych między źródłami za pomocą spreparowanej strony HTML.

CVE-2026-0057
Niskie

W dostawcy kontaktów istnieje możliwość uzyskania dostępu do numeru telefonu i powiązanych metadanych przychodzącego połączenia z powodu braku sprawdzenia uprawnień. Może to prowadzić do lokalnego ujawnienia informacji bez potrzeby dodatkowych uprawnień wykonawczych.

CVE-2025-62340
Niskie

Podatność w HCL iControl wynika z nieodpowiedniego czasu wygaśnięcia sesji. Aplikacja internetowa nie kończy automatycznie sesji użytkownika po okresie bezczynności.

PoprzedniaStrona 7 z 61Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS