Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-31230
Krytyczne

W bibliotece Adversarial Robustness Toolbox (ART) do wersji 1.20.1 włącznie wykryto podatność na wstrzykiwanie argumentów wiersza poleceń w komponencie Kubeflow (robustness_evaluation_fgsm_pytorch.py). Skrypt używa niebezpiecznej funkcji eval() do parsowania wartości łańcuchowych przekazywanych przez argumenty --clip_values i --input_shape, co pozwala atakującemu na zdalne wykonanie dowolnego kodu Python.

CVE-2026-31229
Krytyczne

W Adversarial Robustness Toolbox (ART) do wersji 1.20.1 występuje podatność na niebezpieczną deserializację w funkcjonalności ładowania modeli komponentu Kubeflow. Użycie funkcji torch.load() bez parametru weights_only=True umożliwia deserializację dowolnych obiektów Pythona, co może prowadzić do wykonania złośliwego kodu.

CVE-2026-29204
Krytyczne

Niewystarczająca weryfikacja właściciela w `clientarea.php` pozwala uwierzytelnionemu użytkownikowi obszaru klienta na składanie żądań z użyciem `addonId` innego użytkownika bez weryfikacji własności, co prowadzi do nieautoryzowanego dostępu do konta ofiary.

CVE-2026-26083
Krytyczne

Brak autoryzacji w Fortinet FortiSandbox umożliwia nieuwierzytelnionemu atakującemu wykonanie nieautoryzowanego kodu lub komend poprzez żądania HTTP. Podatność dotyczy wielu wersji FortiSandbox, FortiSandbox Cloud oraz FortiSandbox PaaS.

CVE-2026-43992
Krytyczne

JunoClaw to platforma AI, która przed wersją 0.x.y-security-1 miała podatność, w której narzędzia MCP akceptowały 'mnemonic: string' jako parametr wywołania. To prowadziło do osadzenia nasion BIP-39 w JSON wywołania narzędzia LLM, co narażało je na ujawnienie.

CVE-2026-20794
Krytyczne

Przepełnienie bufora w sterowniku Intel(R) Data Center Graphics dla oprogramowania VMware ESXi przed wersją 2.0.2 może umożliwić eskalację uprawnień. Atakujący z dostępem do systemu i niską złożonością ataku może wykonać lokalny kod bez interakcji użytkownika.

CVE-2025-65719
Krytyczne

Wersja 1.1.1 serwera MCP w Open Source Kubectl zawiera lukę, która pozwala atakującym na wykonanie dowolnego kodu na systemie ofiary poprzez interakcję użytkownika z przygotowaną stroną HTML.

CVE-2026-43515
Krytyczne

Podatność związana z niewłaściwą autoryzacją występuje, gdy wiele ograniczeń metod definiuje metodę HTTP dla tego samego rozszerzenia w Apache Tomcat.

CVE-2026-43512
Krytyczne

Podatność w mechanizmie uwierzytelniania typu digest w Apache Tomcat umożliwia obejście uwierzytelnienia. Dotyczy to wersji od 11.0.0-M1 do 11.0.21, 10.1.0-M1 do 10.1.54, 9.0.0.M1 do 9.0.117, 8.5.0 do 8.5.100 oraz wersji przed 7.0.0.

CVE-2026-41293
Krytyczne

Podatność związana z niewłaściwą walidacją danych wejściowych w Apache Tomcat może prowadzić do nieautoryzowanego dostępu lub manipulacji danymi. Dotyczy to wersji od 11.0.0-M1 do 11.0.21, od 10.1.0-M1 do 10.1.54, od 9.0.0.M1 do 9.0.117 oraz od 10.0.0-M1 do 10.0.27.

CVE-2026-34187
Krytyczne

Podatność CVE-2026-34187 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co umożliwia atak typu SQL Injection poprzez parametr kontenera grafu. Problem ten dotyczy systemu Pandora FMS w wersjach od 777 do 800.

CVE-2026-31228
Krytyczne

Adversarial Robustness Toolbox (ART) do wersji 1.20.1 zawiera podatność zdalnego wykonania kodu w komponencie Kubeflow. Funkcja oceny odporności dla modeli PyTorch używa niebezpiecznej funkcji eval() do dynamicznego przetwarzania parametrów LossFn i Optimizer bez żadnej sanityzacji, co pozwala atakującemu na wstrzyknięcie dowolnego kodu Python.

CVE-2026-31226
Krytyczne

Projekt TinyZero zawiera krytyczną podatność na wstrzykiwanie poleceń (CWE-78) w swoich narzędziach operacyjnych HDFS. Podatność wynika z niebezpiecznego konstruowania i wykonywania poleceń powłoki za pomocą os.system() bez odpowiedniej sanitizacji lub ucieczki danych wejściowych.

CVE-2026-31220
Krytyczne

Wersje PySyft (Syft Datasite/Server) 0.9.5 i wcześniejsze są podatne na zdalne wykonanie kodu z powodu niewystarczającej walidacji i izolacji kodu przesyłanego przez użytkowników. Użytkownicy o niskich uprawnieniach mogą przesyłać funkcje Pythona do zdalnego wykonania na serwerze, co stwarza ryzyko wykonania niebezpiecznego kodu.

CVE-2026-31217
Krytyczne

Funkcja _load_model() w skrypcie neural_magic_training.py projektu optimate umożliwia wykonanie dowolnego kodu. Użytkownik może podać ścieżkę do katalogu za pomocą argumentu wiersza poleceń --model, co pozwala na odczytanie i wykonanie pliku module.py z tego katalogu bez walidacji jego zawartości.

CVE-2026-31216
Krytyczne

Usługa backendowa nexent w wersji 1.7.5.2 zawiera podatność na nieautoryzowane usuwanie plików w API zarządzania plikami. Punkt końcowy DELETE /storage/{object_name:path} nie posiada mechanizmów uwierzytelniania, autoryzacji ani walidacji danych wejściowych.

CVE-2026-31215
Krytyczne

Usługa backendowa nexent v1.7.5.2 zawiera podatność na nieautoryzowane usuwanie dowolnych plików w interfejsie usługi ElasticSearch. Punkt końcowy DELETE /{index_name}/documents nie ma odpowiednich kontroli uwierzytelniania i autoryzacji, co pozwala na usunięcie dokumentów z indeksów ElasticSearch przez nieautoryzowanych atakujących.

CVE-2026-31214
Krytyczne

Skrypt torch-checkpoint-shrink.py w projekcie ml-engineering zawiera podatność na niebezpieczną deserializację. Użycie torch.load() do przetwarzania plików kontrolnych PyTorch (.pt) bez włączenia parametru weights_only=True umożliwia deserializację dowolnych obiektów Pythona.

CVE-2026-30805
Krytyczne

Podatność na niebezpieczną domyślną inicjalizację zasobów umożliwia obejście uwierzytelnienia poprzez dostęp do API. Problem ten dotyczy Pandora FMS w wersjach od 777 do 800.

CVE-2026-8401
Krytyczne

Podatność umożliwia ucieczkę z sandbaksa w komponencie Profile Backup przeglądarki Firefox i klienta poczty Thunderbird. Luka została załatana w wersjach Firefox 150.0.3, Firefox ESR 115.36, Firefox ESR 140.11 oraz Thunderbird 140.11.

PoprzedniaStrona 77 z 552Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS