Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-44196
Krytyczne

W Pingvin Share X w wersjach od 1.14.1 do 1.16.2 występuje krytyczna podatność na obejście uwierzytelniania, która pozwala atakującemu, posiadającemu ważną nazwę użytkownika i hasło, całkowicie pominąć wymóg uwierzytelnienia dwuskładnikowego (TOTP). Podatność ta została naprawiona w wersji 1.16.3.

CVE-2026-44183
Krytyczne

CVE-2026-44183 dotyczy narzędzia Cleanuparr, które automatyzuje usuwanie niechcianych plików w Sonarr, Radarr i obsługiwanych klientach pobierania. W wersjach przed 2.9.10, atakujący mógł wykorzystać nagłówek X-Forwarded-For do podszywania się pod adres IP klienta, co pozwalało na nieautoryzowany dostęp do konta administratora.

CVE-2026-42898
Krytyczne

Nieprawidłowa kontrola generowania kodu ('iniekcja kodu') w Microsoft Dynamics 365 (wersja lokalna) pozwala autoryzowanemu atakującemu na wykonanie kodu w sieci.

CVE-2026-42833
Krytyczne

Nieprawidłowa kontrola generowania kodu ('iniekcja kodu') w Microsoft Dynamics 365 (wersja lokalna) umożliwia autoryzowanemu atakującemu wykonanie kodu w sieci.

CVE-2026-42823
Krytyczne

Nieprawidłowa kontrola dostępu w Azure Logic Apps umożliwia autoryzowanemu atakującemu podniesienie uprawnień w sieci.

CVE-2026-42300
Krytyczne

DevGuard przed wersją 1.2.2 akceptuje nagłówek HTTP X-Admin-Token dostarczony przez klienta i używa jego surowej wartości jako identyfikatora użytkownika, gdy brak jest ciasteczka sesji Kratos. To pozwala nieautoryzowanemu atakującemu na wydawanie żądań jako dany użytkownik, co może prowadzić do przejęcia kontroli nad zasobami organizacji.

CVE-2026-42048
Krytyczne

Langflow, narzędzie do budowania i wdrażania agentów AI, przed wersją 1.9.0 jest podatne na atak typu Path Traversal w API Baz Wiedzy (DELETE /api/v1/knowledge_bases). Atakujący może wykorzystać tę lukę do usunięcia dowolnych katalogów na serwerze.

CVE-2026-41103
Krytyczne

Nieprawidłowa implementacja algorytmu uwierzytelniania w wtyczce Microsoft SSO dla Jira i Confluence umożliwia nieautoryzowanemu atakującemu podniesienie uprawnień w sieci.

CVE-2026-41096
Krytyczne

W systemie Microsoft Windows DNS występuje przepełnienie bufora oparte na stercie, które może zostać wykorzystane przez nieautoryzowanego atakującego do wykonania kodu przez sieć.

CVE-2026-41089
Krytyczne

Przepełnienie bufora na stosie w Windows Netlogon umożliwia nieautoryzowanemu atakującemu wykonanie kodu przez sieć.

CVE-2026-40402
Krytyczne

W systemie Windows Hyper-V występuje podatność typu use after free, która pozwala nieautoryzowanemu atakującemu na podniesienie uprawnień lokalnie.

CVE-2026-40379
Krytyczne

W Azure Entra ID występuje ujawnienie wrażliwych informacji, co pozwala nieautoryzowanemu atakującemu na przeprowadzenie ataku spoofingowego w sieci.

CVE-2026-33117
Krytyczne

Biblioteka kluczy Java Key Vault w Azure SDK dla Javy zawiera problem w lokalnej ścieżce weryfikacji kryptograficznej, gdzie porównanie tagu uwierzytelniającego zostało zaimplementowane niepoprawnie. W aplikacjach korzystających z tej podatnej ścieżki kryptograficznej, specjalnie przygotowane zaszyfrowane dane wejściowe mogą ominąć kontrole weryfikacji integralności.

CVE-2026-31242
Krytyczne

Serwer mem0 w wersji 1.0.0 nie posiada kontroli uwierzytelniania i autoryzacji dla funkcji resetowania pamięci dostępnej przez punkt końcowy DELETE /memories. Nieautoryzowany atakujący może wysłać żądanie DELETE, co prowadzi do wykonania polecenia SQL DROP TABLE, skutkując usunięciem całej tabeli bazy danych pamięci.

CVE-2026-31239
Krytyczne

Framework modelu językowego mamba do wersji 2.2.6 jest podatny na niebezpieczną deserializację podczas ładowania wstępnie wytrenowanych modeli z HuggingFace Hub. Metoda MambaLMHeadModel.from_pretrained() używa torch.load() do ładowania pliku wag pytorch_model.bin bez włączenia parametru weights_only=True, co umożliwia deserializację dowolnych obiektów Pythona.

CVE-2026-31238
Krytyczne

Framework Ludwig do wersji 0.10.4 jest podatny na niebezpieczną deserializację w swoim komponencie serwującym modele. Przy uruchamianiu serwera modeli za pomocą polecenia ludwig serve, framework ładuje pliki wag modeli bez włączenia parametru weights_only=True, co umożliwia deserializację dowolnych obiektów Pythona.

CVE-2026-31237
Krytyczne

Framework Ludwig do wersji 0.10.4 jest podatny na niebezpieczną deserializację poprzez metodę predict(). Umożliwia to zdalnemu atakującemu wykonanie dowolnego kodu na systemie, jeśli dostarczy złośliwie przygotowany plik pickle.

CVE-2026-31236
Krytyczne

Narzędzie CLI llm do wersji 0.27.1 zawiera krytyczną podatność na wstrzykiwanie kodu przez argument --functions. Argument ten pozwala na podanie definicji funkcji Pythona, ale narzędzie bezpośrednio wykonuje kod za pomocą niebezpiecznej funkcji exec() bez żadnej sanitacji. Atakujący może wykorzystać to przez spreparowanie złośliwego polecenia llm z dowolnym kodem Pythona w argumencie --functions i nakłonienie ofiary do jego uruchomienia, co prowadzi do wykonania dowolnego kodu na jej systemie.

CVE-2026-31235
Krytyczne

Biblioteka imgaug w wersjach do 0.4.0 zawiera podatność na niebezpieczną deserializację w klasie BackgroundAugmenter w module multicore.py. Klasa ta wykorzystuje moduł pickle Pythona do deserializacji danych z kolejki wieloprocesowej bez żadnych kontroli bezpieczeństwa.

CVE-2026-31234
Krytyczne

Horovod w wersji do 0.28.1 zawiera podatność na niebezpieczną deserializację w komponencie serwera KVStore HTTP. Brak kontroli uwierzytelniania i autoryzacji umożliwia zdalnemu atakującemu wysyłanie dowolnych danych za pomocą żądań HTTP PUT, co prowadzi do możliwości wykonania złośliwego kodu.

PoprzedniaStrona 78 z 558Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS