Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
Podatność CWE-770 w Elasticsearch umożliwia atak DoS poprzez nadmierną alokację pamięci. Użytkownik z podwyższonymi uprawnieniami może wysłać spreparowane żądanie uczenia maszynowego, co prowadzi do wyczerpania zasobów i niedostępności węzła.
Podatność CVE-2026-56148 w Elasticsearch umożliwia niekontrolowaną rekurencję, co prowadzi do odmowy usługi. Uwierzytelniony użytkownik może wysłać specjalnie spreparowane zapytanie, które powoduje nadmierne zużycie zasobów podczas przetwarzania, potencjalnie uniemożliwiając działanie dotkniętego węzła.
Podatność CVE-2026-49088 w Kibanie umożliwia wstawianie wrażliwych informacji do plików dziennika. Gdy opcjonalne monitorowanie wydajności aplikacji (APM) jest włączone, wrażliwe wartości nagłówków żądań mogą być rejestrowane w logach aplikacji.
Podatność CWE-770 w Kibanie umożliwia atak DoS poprzez nadmierną alokację zasobów. Uwierzytelniony użytkownik może wysłać spreparowane żądanie masowego usunięcia, powodując wyczerpanie zasobów i niedostępność Kibany.
Podatność w systemie językowym Guardian polega na braku sanityzacji parametru GET 'id' przed wstawieniem go do kodu HTML i atrybutów akcji formularza w pliku media.php (linie 119, 129). Uwierzytelniony atakujący może stworzyć URL, który wstrzykuje znaczniki skryptów wykonujące się w sesji przeglądarki ofiary.
Podatność w systemie językowym Guardian polega na braku sanityzacji parametru GET 'id' przed wstawieniem go do atrybutów akcji formularzy HTML w pliku text_file.php. Uwierzytelniony atakujący może stworzyć URL, który wstrzykuje skrypty wykonywane w sesji przeglądarki ofiary.
Podatność XSS w systemie językowym Guardian polega na braku sanityzacji parametru GET 'name' przed wyświetleniem go w atrybucie wartości pola HTML w pliku designer.php (linia 57). Uwierzytelniony atakujący może stworzyć URL zawierający znaczniki skryptów, które wykonają się w sesji przeglądarki ofiary.
Wtyczka Webba Booking dla WordPressa zawiera lukę braku autoryzacji, która umożliwia wykorzystanie nieprawidłowo skonfigurowanych poziomów bezpieczeństwa kontroli dostępu. Luka dotyczy wersji od n/a do 6.4.13 włącznie.
Interfejs webowy genucenter przed wersją 8.0p11 niepotrzebnie ujawnia wrażliwe klucze uwierzytelniania i szyfrowania SNMP w odpowiedziach HTTP dla użytkowników z rolą „Serwis” lub „Administrator”.
Podatność w bibliotece Keras (do wersji 3.13.2 włącznie) umożliwia odczyt dowolnego pliku HDF5 z systemu ofiary. Wynika to z niepełnej poprawki dla CVE-2026-1669 i braku weryfikacji właściwości `dataset.is_virtual` w metodach `H5IOStore._verify_dataset()` oraz `file_editor.py`. Atakujący może dostarczyć złośliwy plik modelu `.keras` lub wag `.h5` zawierający wirtualny zestaw danych (VDS) odnoszący się do zewnętrznych plików HDF5.
Podatność w Stormshield Network Security pozwala na uwierzytelnienie przy użyciu cofniętego certyfikatu klienta w portalu captive-admin. Atakujący posiadający taki certyfikat może uzyskać dostęp administracyjny.
Podatność w MediaWiki umożliwia nieautoryzowanemu aktorowi dostęp do wrażliwych informacji. Problem występuje w pliku includes/Actions/InfoAction.php.
W MediaWiki przed wersjami 1.46.0, 1.45.4, 1.44.6 i 1.43.9 występuje podatność na ataki XSS w pliku resources/src/mediawiki.Api/index.js. Brak odpowiedniej neutralizacji danych wejściowych podczas generowania stron internetowych umożliwia wstrzyknięcie złośliwego skryptu.
Podatność XSS w rozszerzeniu SyntaxHighlight_GeSHi dla MediaWiki umożliwia atakującemu wstrzyknięcie złośliwego kodu JavaScript poprzez nieprawidłową neutralizację danych wejściowych podczas generowania strony. Problem dotyczy pliku includes/SyntaxHighlight.php.
Podatność w MediaWiki umożliwia atakującemu manipulację danymi uwierzytelniającymi poprzez pliki API i specjalne strony. Problem dotyczy wersji przed 1.46.0, 1.45.4, 1.44.6 oraz 1.43.9.
Podatność w rozszerzeniu AbuseFilter Wikimedia Foundation umożliwia nieautoryzowanemu aktorowi dostęp do wrażliwych informacji. Problem występuje w pliku includes/Api/QueryAbuseFilters.php.
Podatność na deserializację niezaufanych danych w MediaWiki. Problem występuje w plikach WikiImporter.php, WikiRevision.php oraz LogEntryBase.php. Luka dotyczy wersji przed 1.46.0, 1.45.4, 1.44.6, 1.43.9.
Podatność w MediaWiki umożliwia nieautoryzowanemu aktorowi dostęp do wrażliwych informacji poprzez plik includes/Api/ApiUserrights.php. Problem dotyczy wersji przed 1.46.0, 1.45.4, 1.44.6 oraz 1.43.9.
W bibliotece FatFs w wersji R0.16 i wcześniejszych wykryto podatność polegającą na pozostawieniu niezainicjalizowanych klastrów podczas rozszerzania plików poza koniec pliku (EOF) za pomocą funkcji f_lseek(). Nowo przydzielone klastry nie są wypełniane zerami, co może prowadzić do ujawnienia danych.
Podatność w bibliotece FatFs R0.16 i wcześniejszych pozwala na pominięcie sprawdzania spójności pamięci podręcznej (dirty-cache) poprzez zawinięcie przy odejmowaniu bez znaku w funkcjach f_read() i f_write(). Problem występuje podczas przeplatanych operacji odczytu/zapisu na pofragmentowanych systemach plików.

