Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-45434
Krytyczne

W podatności CVE-2026-45434 w Apache OFBiz występuje błąd w logice zmiany hasła, który może prowadzić do zdalnego wykonania kodu. Problem dotyczy wersji przed 24.09.06.

CVE-2026-41919
Krytyczne

W podatności CVE-2026-41919 występuje niewłaściwa neutralizacja specjalnych elementów używanych w zapytaniach LDAP, co prowadzi do podatności na ataki typu LDAP Injection w Apache OFBiz.

CVE-2026-31986
Krytyczne

Podatność związana z użyciem zakodowanego klucza kryptograficznego w Apache OFBiz. Problem dotyczy wersji przed 24.09.06.

CVE-2026-2611
Krytyczne

W MLflow w wersji 3.9.0 funkcja Asystenta MLflow wprowadziła nieprawidłową walidację pochodzenia żądań w endpointach /ajax-api. Luka umożliwia zdalnemu atakującemu wykorzystanie żądań międzyoriginowych ze złośliwej strony internetowej do interakcji z Asystentem MLflow działającym na lokalnym komputerze ofiary.

CVE-2026-4885
Krytyczne

Wtyczka Piotnet Addons for Elementor Pro dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji 'pafe_ajax_form_builder' we wszystkich wersjach do 7.1.70 włącznie. Wtyczka używa niekompletnej czarnej listy rozszerzeń, co pozwala na przesyłanie niebezpiecznych plików.

CVE-2026-8838
Krytyczne

Niebezpieczne użycie funkcji eval() w Pythonie na danych otrzymanych z serwera w funkcji vector_in() w amazon-redshift-python-driver przed wersją 2.1.14 pozwala złośliwemu serwerowi lub atakującemu typu man-in-the-middle na wykonanie dowolnego kodu na kliencie.

CVE-2026-27130
Krytyczne

Dokploy to darmowa platforma PaaS, która w wersjach 0.26.6 i poniżej ma podatność na wstrzykiwanie poleceń systemowych przez parametr appName. Problemy wynikają z niewystarczającej sanitizacji wejścia, braku walidacji schematu oraz bezpośredniej interpolacji w powłokę.

CVE-2026-25244
KrytyczneEPSS 85%

WebdriverIO w wersjach poniżej 9.24.0 zawiera podatność na wstrzykiwanie poleceń, prowadzącą do zdalnego wykonania kodu (RCE) podczas orkiestracji testów. Git pozwala na używanie znaków specjalnych w nazwach gałęzi, a funkcja getGitMetadataForAISelection() przekazuje je bezpośrednio do wywołań execSync() bez sanityzacji. Atakujący może wykorzystać złośliwe repozytorium z odpowiednio spreparowaną nazwą gałęzi, aby wykonać dowolny kod.

CVE-2026-8836
Krytyczne

W lwIP w wersjach do 2.2.1 zidentyfikowano podatność w funkcji snmp_parse_inbound_frame w pliku src/apps/snmp/snmp_msg.c komponentu snmpv3 USM Handler. Manipulacja argumentem msgAuthenticationParameters prowadzi do przepełnienia bufora na stosie.

CVE-2026-45230
Krytyczne

DumbAssets w wersji do 1.0.11 zawiera podatność na traversję ścieżki w punkcie końcowym POST /api/delete-file, co pozwala nieautoryzowanym atakującym na usuwanie dowolnych plików poprzez dostarczenie sekwencji ../, które omijają walidację granic katalogów.

CVE-2026-42822
Krytyczne

Nieprawidłowa autoryzacja w Azure Local Disconnected Operations umożliwia nieautoryzowanemu atakującemu podniesienie uprawnień w sieci.

CVE-2023-24215
Krytyczne

W oprogramowaniu NOVUS AirGate 4G w wersji 1.1.16 wykryto podatność w punkcie końcowym /uci/get/. Brak odpowiedniej kontroli dostępu umożliwia nieuwierzytelnionemu atakującemu uzyskanie danych logowania administratora poprzez spreparowane żądanie POST.

CVE-2026-45829
KrytyczneEPSS 96%

Podatność w projekcie ChromaDB w wersji 1.0.0 i nowszych umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnego kodu na serwerze. Wystarczy wysłać złośliwe repozytorium modelu z parametrem trust_remote_code ustawionym na true do endpointu /api/v2/tenants/{tenant}/databases/{db}/collections.

CVE-2026-41948
Krytyczne

Wersja 1.14.1 i wcześniejsze Dify zawierają podatność na przejście ścieżki, która pozwala uwierzytelnionym użytkownikom manipulować żądaniami kierowanymi do wewnętrznego API REST Plugin Daemon. Atakujący mogą wykorzystać niewystarczające oczyszczanie ścieżek URL, aby uzyskać dostęp do wewnętrznych punktów końcowych.

CVE-2026-41947
Krytyczne

Dify przed wersją 1.14.2 zawiera lukę w autoryzacji, która pozwala uwierzytelnionym użytkownikom edytorów na ustawianie i włączanie konfiguracji śledzenia dla dowolnej aplikacji, niezależnie od własności najemcy. Luka ta umożliwia atakującym przekierowanie wszystkich wiadomości i odpowiedzi z aplikacji ofiary do kontrolowanych przez nich dostawców śledzenia LLM.

CVE-2026-7304
Krytyczne

SGLangs multimodal generation runtime jest podatny na zdalne wykonanie kodu bez uwierzytelnienia, gdy opcja --enable-custom-logit-processor jest włączona. Obiekty Pythona ładowane za pomocą dill.loads() są deserializowane bez walidacji.

CVE-2026-7302
Krytyczne

SGLangs multimodal generation runtime jest podatny na nieautoryzowaną podatność typu path traversal, co pozwala atakującemu na zapis dowolnych plików w lokalizacjach, do których proces serwera ma dostęp do zapisu, poprzez dodanie sekwencji ../ w nazwie pliku podczas przesyłania do określonych punktów końcowych.

CVE-2026-7301
Krytyczne

Domyślnie gniazdo ROUTER w harmonogramie generacji multimodalnej SGLangs wiąże się z adresem 0.0.0.0 i zawiera sink, który wywołuje pickle.loads() na przychodzących wiadomościach, co umożliwia zdalne wykonanie kodu (RCE) w przypadku wystawienia na internet.

CVE-2026-4320
Krytyczne

Podatność na obejście autoryzacji w oprogramowaniu ICMS firmy Creartia może pozwolić atakującemu na uzyskanie nieautoryzowanego dostępu do chronionych funkcji poprzez manipulację nagłówkami przekierowania HTTP w procesie logowania.

CVE-2026-8721
Krytyczne

Wersje Crypt::OpenSSL::PKCS12 do 1.94 dla Perla obcinają hasła zawierające wbudowane NULL-e. Parametry hasła w PKCS12.xs są zadeklarowane jako char *, co prowadzi do utraty długości hasła w Perl.

PoprzedniaStrona 73 z 559Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS