Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-8398
Krytyczne

Atak na łańcuch dostaw wpłynął na oficjalne pakiety instalacyjne DAEMON Tools Lite w wersjach 12.5.0.2421 do 12.5.0.2434, dystrybuowane z legalnej strony daemon-tools.cc w okresie od 8 kwietnia 2026 do 5 maja 2026. Napastnicy uzyskali nieautoryzowany dostęp do infrastruktury budowy lub dystrybucji dostawcy i zainfekowali trzy pliki binarne.

CVE-2026-5229
Krytyczne

Wtyczka Form Notify dla WordPressa jest podatna na obejście uwierzytelnienia w wersjach do 1.1.10. Problem wynika z zaufania wtyczki do danych cookie kontrolowanych przez użytkownika, co pozwala na dostęp do kont użytkowników bez uwierzytelnienia.

CVE-2026-0481
Krytyczne

Nieograniczone powiązanie adresu IP w AMD Device Metrics Exporter (ekosystem ROCm) może umożliwić zdalnemu atakującemu wprowadzenie nieautoryzowanych zmian w konfiguracji GPU, co może prowadzić do utraty dostępności.

CVE-2026-44666
Krytyczne

HRConvert2 przed wersją 3.3.8 ma lukę w funkcji sanitizeString(), która nie usuwa znaków backtick (`) oraz tab ( ). W wyniku tego, dane wejściowe użytkownika mogą trafić do funkcji shell_exec(), co pozwala na wykonanie poleceń w nazwach plików.

CVE-2026-44212
Krytyczne

W PrestaShop, przed wersjami 8.2.6 i 9.1.1, występuje podatność typu Cross-Site Scripting (XSS) w widoku obsługi klienta w panelu administracyjnym. Atakujący bez uwierzytelnienia może przesłać złośliwy adres e-mail przez formularz kontaktowy, co prowadzi do przechwycenia sesji i pełnej kontroli nad panelem administracyjnym.

CVE-2026-8634
Krytyczne

Crabbox w wersjach przed v0.12.0 zawiera podatność na ujawnienie zmiennych środowiskowych, która pozwala atakującym z dostępem do złośliwego lub skompromitowanego repozytorium na przesyłanie lokalnych sekretów, takich jak tokeny API, dane uwierzytelniające do chmury i tokeny brokera do zdalnego środowiska poleceń.

CVE-2026-8580
Krytyczne

Wykorzystanie po zwolnieniu pamięci w Mojo w Google Chrome przed wersją 148.0.7778.168 umożliwia zdalnemu atakującemu potencjalne przeprowadzenie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.

CVE-2026-8511
Krytyczne

Wykorzystanie po zwolnieniu pamięci w interfejsie użytkownika w Google Chrome przed wersją 148.0.7778.168 umożliwia zdalnemu atakującemu potencjalne wykonanie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.

CVE-2026-26191
Krytyczne

W oprogramowaniu Fleet, przed wersją 4.81.0, występowała podatność w procesie instalacji, która mogła pozwolić na wykonanie dowolnych poleceń jako root (macOS/Linux) lub SYSTEM (Windows) na zarządzanych punktach końcowych podczas uruchamiania deinstalacji. Złośliwie skonstruowany pakiet oprogramowania mógł prowadzić do niezamierzonego wykonania poleceń.

CVE-2026-45375
Krytyczne

SiYuan to system zarządzania wiedzą, który przed wersją 3.7.0 nie stosował odpowiedniego zabezpieczenia HTML dla nazw i wersji w plikach plugin.json. W wyniku tego, złośliwy kod HTML mógł być wykonany w interfejsie użytkownika, gdy użytkownik otworzył zakładkę rynku.

CVE-2026-44670
Krytyczne

SiYuan to otwartoźródłowy system zarządzania wiedzą osobistą. W wersjach przed 3.7.0, nazwy widoków atrybutów są przechowywane bez HTML escape, co prowadzi do możliwości wstrzyknięcia HTML i wykonania kodu Node.js w rendererze.

CVE-2026-44592
Krytyczne

Gradient to system ciągłej integracji oparty na Nix. W wersji 1.1.0, gdy GRADIENT_DISCOVERABLE=true, każdy, kto ma dostęp do /proto, może zarejestrować się jako pracownik bez żadnych poświadczeń, co prowadzi do nieautoryzowanego dostępu do zadań z każdej organizacji.

CVE-2026-44588
Krytyczne

SiYuan to system zarządzania wiedzą, który przed wersją 3.7.0 miał problem z obsługą atrybutu aria-label. W wyniku niewłaściwego dekodowania URL, możliwe było wstrzyknięcie złośliwego kodu HTML, co prowadziło do wykonania nieautoryzowanego skryptu.

CVE-2026-44523
Krytyczne

Aplikacja Note Mark przed wersją 0.19.4 nie wymusza minimalnej długości ani entropii dla wartości konfiguracyjnej JWT_SECRET. Umożliwia to akceptację dowolnego sekretu kodowanego w base64, w tym sekretów o długości zaledwie 1 bajta.

CVE-2026-41315
Krytyczne

mdserver-web w wersjach od 0.18.0 do 0.18.4 posiada podatność na zdalne wykonanie poleceń bez autoryzacji w interfejsach /modify_crond i /start_task. Brak autoryzacji umożliwia modyfikację domyślnych zadań zaplanowanych oraz ich uruchamianie, co prowadzi do RCE.

CVE-2026-44542
Krytyczne

FileBrowser Quantum przed wersjami 1.3.1-stable i 1.3.9-beta ma lukę, która pozwala atakującemu na wykorzystanie kontrolowanego przez niego wejścia ścieżki do ucieczki z zamierzonego katalogu współdzielonego. Dzięki temu, nieautoryzowany atakujący z ważnym hashem publicznego udostępnienia i uprawnieniami do usuwania może usunąć dowolne pliki poza tym katalogiem.

CVE-2026-41615
Krytyczne

W Microsoft Authenticator występuje podatność, która umożliwia nieautoryzowanemu atakującemu ujawnienie wrażliwych informacji przez sieć.

CVE-2026-42555
Krytyczne

Valtimo to platforma automatyzacji procesów biznesowych, która ma podatność umożliwiającą wykonanie zdalnego kodu oraz wyciek danych uwierzytelniających. Wersje od 12.0.0 do przed 12.32.0 dla com.ritense.valtimo:document oraz od 13.0.0 do przed 13.23.0 dla com.ritense.valtimo:case i com.ritense.valtimo:contract są narażone na atak.

CVE-2026-20182
KrytyczneAktywnie exploitowaneEPSS 100%

W podatności CVE-2026-20182 zidentyfikowano problem z mechanizmem uwierzytelniania w Cisco Catalyst SD-WAN Controller, Manager i Validator, który umożliwia nieautoryzowanemu atakującemu ominięcie uwierzytelnienia i uzyskanie uprawnień administracyjnych. Atakujący może wykorzystać tę lukę, wysyłając spreparowane żądania do systemu.

CVE-2026-42596
Krytyczne

Gotenberg to API do plików PDF, które przed wersją 8.31.0 miało lukę w funkcji downloadFrom oraz webhook. Domyślne listy blokad były podatne na obejście, co pozwalało nieautoryzowanym atakującym na dostęp do wewnętrznych usług HTTP.

PoprzedniaStrona 75 z 559Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS