Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-56149
Średnie

Podatność CWE-770 w Elasticsearch umożliwia atak DoS poprzez nadmierną alokację pamięci. Użytkownik z podwyższonymi uprawnieniami może wysłać spreparowane żądanie uczenia maszynowego, co prowadzi do wyczerpania zasobów i niedostępności węzła.

CVE-2026-56148
Średnie

Podatność CVE-2026-56148 w Elasticsearch umożliwia niekontrolowaną rekurencję, co prowadzi do odmowy usługi. Uwierzytelniony użytkownik może wysłać specjalnie spreparowane zapytanie, które powoduje nadmierne zużycie zasobów podczas przetwarzania, potencjalnie uniemożliwiając działanie dotkniętego węzła.

CVE-2026-49088
Średnie

Podatność CVE-2026-49088 w Kibanie umożliwia wstawianie wrażliwych informacji do plików dziennika. Gdy opcjonalne monitorowanie wydajności aplikacji (APM) jest włączone, wrażliwe wartości nagłówków żądań mogą być rejestrowane w logach aplikacji.

CVE-2026-49087
Średnie

Podatność CWE-770 w Kibanie umożliwia atak DoS poprzez nadmierną alokację zasobów. Uwierzytelniony użytkownik może wysłać spreparowane żądanie masowego usunięcia, powodując wyczerpanie zasobów i niedostępność Kibany.

CVE-2026-34098
Średnie

Podatność w systemie językowym Guardian polega na braku sanityzacji parametru GET 'id' przed wstawieniem go do kodu HTML i atrybutów akcji formularza w pliku media.php (linie 119, 129). Uwierzytelniony atakujący może stworzyć URL, który wstrzykuje znaczniki skryptów wykonujące się w sesji przeglądarki ofiary.

CVE-2026-34097
Średnie

Podatność w systemie językowym Guardian polega na braku sanityzacji parametru GET 'id' przed wstawieniem go do atrybutów akcji formularzy HTML w pliku text_file.php. Uwierzytelniony atakujący może stworzyć URL, który wstrzykuje skrypty wykonywane w sesji przeglądarki ofiary.

CVE-2026-34096
Średnie

Podatność XSS w systemie językowym Guardian polega na braku sanityzacji parametru GET 'name' przed wyświetleniem go w atrybucie wartości pola HTML w pliku designer.php (linia 57). Uwierzytelniony atakujący może stworzyć URL zawierający znaczniki skryptów, które wykonają się w sesji przeglądarki ofiary.

CVE-2026-27409
Średnie

Wtyczka Webba Booking dla WordPressa zawiera lukę braku autoryzacji, która umożliwia wykorzystanie nieprawidłowo skonfigurowanych poziomów bezpieczeństwa kontroli dostępu. Luka dotyczy wersji od n/a do 6.4.13 włącznie.

CVE-2026-13211
Średnie

Interfejs webowy genucenter przed wersją 8.0p11 niepotrzebnie ujawnia wrażliwe klucze uwierzytelniania i szyfrowania SNMP w odpowiedziach HTTP dla użytkowników z rolą „Serwis” lub „Administrator”.

CVE-2026-12480
Średnie

Podatność w bibliotece Keras (do wersji 3.13.2 włącznie) umożliwia odczyt dowolnego pliku HDF5 z systemu ofiary. Wynika to z niepełnej poprawki dla CVE-2026-1669 i braku weryfikacji właściwości `dataset.is_virtual` w metodach `H5IOStore._verify_dataset()` oraz `file_editor.py`. Atakujący może dostarczyć złośliwy plik modelu `.keras` lub wag `.h5` zawierający wirtualny zestaw danych (VDS) odnoszący się do zewnętrznych plików HDF5.

CVE-2026-8480
Średnie

Podatność w Stormshield Network Security pozwala na uwierzytelnienie przy użyciu cofniętego certyfikatu klienta w portalu captive-admin. Atakujący posiadający taki certyfikat może uzyskać dostęp administracyjny.

CVE-2026-58033
Średnie

Podatność w MediaWiki umożliwia nieautoryzowanemu aktorowi dostęp do wrażliwych informacji. Problem występuje w pliku includes/Actions/InfoAction.php.

CVE-2026-58032
Średnie

W MediaWiki przed wersjami 1.46.0, 1.45.4, 1.44.6 i 1.43.9 występuje podatność na ataki XSS w pliku resources/src/mediawiki.Api/index.js. Brak odpowiedniej neutralizacji danych wejściowych podczas generowania stron internetowych umożliwia wstrzyknięcie złośliwego skryptu.

CVE-2026-58030
Średnie

Podatność XSS w rozszerzeniu SyntaxHighlight_GeSHi dla MediaWiki umożliwia atakującemu wstrzyknięcie złośliwego kodu JavaScript poprzez nieprawidłową neutralizację danych wejściowych podczas generowania strony. Problem dotyczy pliku includes/SyntaxHighlight.php.

CVE-2026-58029
Średnie

Podatność w MediaWiki umożliwia atakującemu manipulację danymi uwierzytelniającymi poprzez pliki API i specjalne strony. Problem dotyczy wersji przed 1.46.0, 1.45.4, 1.44.6 oraz 1.43.9.

CVE-2026-58027
Średnie

Podatność w rozszerzeniu AbuseFilter Wikimedia Foundation umożliwia nieautoryzowanemu aktorowi dostęp do wrażliwych informacji. Problem występuje w pliku includes/Api/QueryAbuseFilters.php.

CVE-2026-58025
Średnie

Podatność na deserializację niezaufanych danych w MediaWiki. Problem występuje w plikach WikiImporter.php, WikiRevision.php oraz LogEntryBase.php. Luka dotyczy wersji przed 1.46.0, 1.45.4, 1.44.6, 1.43.9.

CVE-2026-58024
Średnie

Podatność w MediaWiki umożliwia nieautoryzowanemu aktorowi dostęp do wrażliwych informacji poprzez plik includes/Api/ApiUserrights.php. Problem dotyczy wersji przed 1.46.0, 1.45.4, 1.44.6 oraz 1.43.9.

CVE-2026-6686
Średnie

W bibliotece FatFs w wersji R0.16 i wcześniejszych wykryto podatność polegającą na pozostawieniu niezainicjalizowanych klastrów podczas rozszerzania plików poza koniec pliku (EOF) za pomocą funkcji f_lseek(). Nowo przydzielone klastry nie są wypełniane zerami, co może prowadzić do ujawnienia danych.

CVE-2026-6685
Średnie

Podatność w bibliotece FatFs R0.16 i wcześniejszych pozwala na pominięcie sprawdzania spójności pamięci podręcznej (dirty-cache) poprzez zawinięcie przy odejmowaniu bez znaku w funkcjach f_read() i f_write(). Problem występuje podczas przeplatanych operacji odczytu/zapisu na pofragmentowanych systemach plików.

PoprzedniaStrona 7 z 519Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS