Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-40379
Krytyczne

W Azure Entra ID występuje ujawnienie wrażliwych informacji, co pozwala nieautoryzowanemu atakującemu na przeprowadzenie ataku spoofingowego w sieci.

CVE-2026-33117
Krytyczne

Biblioteka kluczy Java Key Vault w Azure SDK dla Javy zawiera problem w lokalnej ścieżce weryfikacji kryptograficznej, gdzie porównanie tagu uwierzytelniającego zostało zaimplementowane niepoprawnie. W aplikacjach korzystających z tej podatnej ścieżki kryptograficznej, specjalnie przygotowane zaszyfrowane dane wejściowe mogą ominąć kontrole weryfikacji integralności.

CVE-2026-31242
Krytyczne

Serwer mem0 w wersji 1.0.0 nie posiada kontroli uwierzytelniania i autoryzacji dla funkcji resetowania pamięci dostępnej przez punkt końcowy DELETE /memories. Nieautoryzowany atakujący może wysłać żądanie DELETE, co prowadzi do wykonania polecenia SQL DROP TABLE, skutkując usunięciem całej tabeli bazy danych pamięci.

CVE-2026-31239
Krytyczne

Framework modelu językowego mamba do wersji 2.2.6 jest podatny na niebezpieczną deserializację podczas ładowania wstępnie wytrenowanych modeli z HuggingFace Hub. Metoda MambaLMHeadModel.from_pretrained() używa torch.load() do ładowania pliku wag pytorch_model.bin bez włączenia parametru weights_only=True, co umożliwia deserializację dowolnych obiektów Pythona.

CVE-2026-31238
Krytyczne

Framework Ludwig do wersji 0.10.4 jest podatny na niebezpieczną deserializację w swoim komponencie serwującym modele. Przy uruchamianiu serwera modeli za pomocą polecenia ludwig serve, framework ładuje pliki wag modeli bez włączenia parametru weights_only=True, co umożliwia deserializację dowolnych obiektów Pythona.

CVE-2026-31237
Krytyczne

Framework Ludwig do wersji 0.10.4 jest podatny na niebezpieczną deserializację poprzez metodę predict(). Umożliwia to zdalnemu atakującemu wykonanie dowolnego kodu na systemie, jeśli dostarczy złośliwie przygotowany plik pickle.

CVE-2026-31236
Krytyczne

Narzędzie CLI llm do wersji 0.27.1 zawiera krytyczną podatność na wstrzykiwanie kodu przez argument --functions. Argument ten pozwala na podanie definicji funkcji Pythona, ale narzędzie bezpośrednio wykonuje kod za pomocą niebezpiecznej funkcji exec() bez żadnej sanitacji. Atakujący może wykorzystać to przez spreparowanie złośliwego polecenia llm z dowolnym kodem Pythona w argumencie --functions i nakłonienie ofiary do jego uruchomienia, co prowadzi do wykonania dowolnego kodu na jej systemie.

CVE-2026-31235
Krytyczne

Biblioteka imgaug w wersjach do 0.4.0 zawiera podatność na niebezpieczną deserializację w klasie BackgroundAugmenter w module multicore.py. Klasa ta wykorzystuje moduł pickle Pythona do deserializacji danych z kolejki wieloprocesowej bez żadnych kontroli bezpieczeństwa.

CVE-2026-31234
Krytyczne

Horovod w wersji do 0.28.1 zawiera podatność na niebezpieczną deserializację w komponencie serwera KVStore HTTP. Brak kontroli uwierzytelniania i autoryzacji umożliwia zdalnemu atakującemu wysyłanie dowolnych danych za pomocą żądań HTTP PUT, co prowadzi do możliwości wykonania złośliwego kodu.

CVE-2026-31233
Krytyczne

Guardrails AI w wersji do 0.6.7 zawiera podatność na wstrzykiwanie kodu (CWE-94) w mechanizmie instalacji pakietów Hub. Podczas instalacji pakietów walidatora, system pobiera manifest z Guardrails Hub i dynamicznie wykonuje skrypt określony w polu post_install, co umożliwia zdalne wykonanie kodu.

CVE-2026-31231
Krytyczne

Cognee w wersji do 0.4.0 zawiera krytyczną podatność na zdalne wykonanie kodu w swoim API do wykonywania komórek notatnika. Punkt końcowy wykonuje dowolny kod Python dostarczony przez użytkownika, używając niebezpiecznej funkcji exec() bez żadnego piaskownicy, walidacji ani zabezpieczeń.

CVE-2026-31230
Krytyczne

W bibliotece Adversarial Robustness Toolbox (ART) do wersji 1.20.1 włącznie wykryto podatność na wstrzykiwanie argumentów wiersza poleceń w komponencie Kubeflow (robustness_evaluation_fgsm_pytorch.py). Skrypt używa niebezpiecznej funkcji eval() do parsowania wartości łańcuchowych przekazywanych przez argumenty --clip_values i --input_shape, co pozwala atakującemu na zdalne wykonanie dowolnego kodu Python.

CVE-2026-31229
Krytyczne

W Adversarial Robustness Toolbox (ART) do wersji 1.20.1 występuje podatność na niebezpieczną deserializację w funkcjonalności ładowania modeli komponentu Kubeflow. Użycie funkcji torch.load() bez parametru weights_only=True umożliwia deserializację dowolnych obiektów Pythona, co może prowadzić do wykonania złośliwego kodu.

CVE-2026-29204
Krytyczne

Niewystarczająca weryfikacja właściciela w `clientarea.php` pozwala uwierzytelnionemu użytkownikowi obszaru klienta na składanie żądań z użyciem `addonId` innego użytkownika bez weryfikacji własności, co prowadzi do nieautoryzowanego dostępu do konta ofiary.

CVE-2026-26083
Krytyczne

Brak autoryzacji w Fortinet FortiSandbox umożliwia nieuwierzytelnionemu atakującemu wykonanie nieautoryzowanego kodu lub komend poprzez żądania HTTP. Podatność dotyczy wielu wersji FortiSandbox, FortiSandbox Cloud oraz FortiSandbox PaaS.

CVE-2026-43992
Krytyczne

JunoClaw to platforma AI, która przed wersją 0.x.y-security-1 miała podatność, w której narzędzia MCP akceptowały 'mnemonic: string' jako parametr wywołania. To prowadziło do osadzenia nasion BIP-39 w JSON wywołania narzędzia LLM, co narażało je na ujawnienie.

CVE-2026-20794
Krytyczne

Przepełnienie bufora w sterowniku Intel(R) Data Center Graphics dla oprogramowania VMware ESXi przed wersją 2.0.2 może umożliwić eskalację uprawnień. Atakujący z dostępem do systemu i niską złożonością ataku może wykonać lokalny kod bez interakcji użytkownika.

CVE-2025-65719
Krytyczne

Wersja 1.1.1 serwera MCP w Open Source Kubectl zawiera lukę, która pozwala atakującym na wykonanie dowolnego kodu na systemie ofiary poprzez interakcję użytkownika z przygotowaną stroną HTML.

CVE-2026-43515
Krytyczne

Podatność związana z niewłaściwą autoryzacją występuje, gdy wiele ograniczeń metod definiuje metodę HTTP dla tego samego rozszerzenia w Apache Tomcat.

CVE-2026-43512
Krytyczne

Podatność w mechanizmie uwierzytelniania typu digest w Apache Tomcat umożliwia obejście uwierzytelnienia. Dotyczy to wersji od 11.0.0-M1 do 11.0.21, 10.1.0-M1 do 10.1.54, 9.0.0.M1 do 9.0.117, 8.5.0 do 8.5.100 oraz wersji przed 7.0.0.

PoprzedniaStrona 76 z 543Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS