Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-42288
Krytyczne

ChurchCRM to system zarządzania kościołem typu open-source. W wersjach przed 7.3.2 poprawka dla CVE-2026-39337 jest niekompletna, co pozwala na zdalne wykonanie kodu przed uwierzytelnieniem poprzez nieoczyszczoną zmienną DB_PASSWORD.

CVE-2026-41901
Krytyczne

Thymeleaf, silnik szablonów Java, ma lukę w zabezpieczeniach przed wersją 3.1.5.RELEASE, która pozwala na obejście mechanizmów wykonania wyrażeń. W przypadku przekazania do silnika szablonów niesanitarnych zmiennych, które zawierają niebezpieczne wyrażenia, może dojść do wykonania tych wyrażeń w kontekście sandboxa, co prowadzi do ataku typu Server-Side Template Injection (SSTI).

CVE-2026-44262
Krytyczne

Scramble generuje dokumentację API dla projektów Laravel. W wersjach od 0.13.2 do przed 0.13.22, gdy punkty końcowe dokumentacji są publicznie dostępne, a reguły walidacji odnoszą się do danych kontrolowanych przez użytkownika, dostarczone dane mogą być oceniane podczas generowania dokumentacji, co prowadzi do wykonania dowolnego kodu PHP w kontekście aplikacji.

CVE-2026-44258
Krytyczne

W wersjach przed 4.08.010, funkcja elfinder_checkRisk w efw4.X nie weryfikuje parametru dst używanego przez elfinder_paste, co pozwala atakującemu na kopiowanie lub przenoszenie plików z katalogu domowego do dowolnej lokalizacji poprzez ustawienie dst na zakodowaną w base64 ścieżkę przejścia.

CVE-2026-44257
Krytyczne

W efw4.X przed wersją 4.08.010, metoda efw.file.FileManager.unZip nie sprawdzała ścieżki kanonicznej przy zapisywaniu wpisów zip na dysku, co pozwalało na wyjście poza zamierzony katalog. Atakujący mógł wykorzystać tę lukę do umieszczenia złośliwego pliku JSP i wykonywania dowolnych poleceń jako użytkownik Tomcat.

CVE-2026-43948
Krytyczne

W wger przed wersją 2.6 występuje podatność, która pozwala użytkownikowi z uprawnieniami gym.manage_gym na zresetowanie hasła dowolnego użytkownika bez przypisania do siłowni. Wykorzystując błąd w porównaniu obiektów, atakujący może przejąć konto ofiary, a oryginalne hasło ofiary zostaje unieważnione.

CVE-2026-42854
Krytyczne

W wersjach przed 3.3.8, parser formularzy wieloczęściowych WebServer w arduino-esp32 alokuje tablicę o zmiennej długości na stosie, której rozmiar zależy od kontrolowanego przez atakującego pola nagłówka HTTP. Przekroczenie długości granicy większej niż ~8000 znaków prowadzi do przepełnienia stosu i potencjalnego wykonania zdalnego kodu.

CVE-2026-42196
Krytyczne

django-s3file przed wersją 7.0.2 jest podatny na ataki typu traversal, które pozwalają atakującemu na ucieczkę z pre-signed upload locations i załadowanie plików z losowych lokalizacji do request.FILES. Może to prowadzić do problemów z poufnością i integralnością danych.

CVE-2026-45185
Krytyczne

Exim w wersjach przed 4.99.3, w określonych konfiguracjach GnuTLS, ma podatność typu use-after-free w ścieżce analizy ciała BDAT. Może to prowadzić do uszkodzenia sterty, gdy klient wyśle powiadomienie TLS close_notify w trakcie transferu CHUNKING, a następnie ostatni bajt w czystym tekście na tym samym połączeniu TCP.

CVE-2026-44225
Krytyczne

Pulpy to lekka, wieloplatformowa aplikacja do pakowania aplikacji webowych. W wersji przed 0.1.1, Pulpy wstrzykiwał API JavaScript pulpy.fs do każdej zapakowanej aplikacji webowej, co umożliwiało dostęp do systemu plików hosta. Funkcja validateFsPath() miała ograniczać ten dostęp, ale jej lista blokad była niekompletna.

CVE-2026-44221
Krytyczne

ArcadeDB przed wersją 2.6.4 pozwalał uwierzytelnionym użytkownikom oraz tokenom API na odczyt, zapis i modyfikację schematu w dowolnej bazie danych na tym samym serwerze, co stanowi poważne naruszenie bezpieczeństwa.

CVE-2026-42889
Krytyczne

Wersje serwera Relay od 0.9.0 do 0.9.6 zawierają lukę w autoryzacji w punktach końcowych WebSocket dla wielu dokumentów. Atakujący bez autoryzacji może uzyskać dostęp do zawartości dokumentów, jeśli zna lub zgadnie identyfikator dokumentu.

CVE-2026-34660
Krytyczne

Wersje Adobe Connect 2025.9.15, 2025.8.157 i wcześniejsze są podatne na lukę w autoryzacji, która może prowadzić do wykonania dowolnego kodu w kontekście bieżącego użytkownika. Atakujący może wykorzystać tę podatność do wstrzyknięcia złośliwych skryptów na stronę internetową.

CVE-2026-34659
Krytyczne

Wersje Adobe Connect 2025.9.15, 2025.8.157 i wcześniejsze są podatne na lukę w deserializacji niezaufanych danych, co może prowadzić do wykonania dowolnego kodu w kontekście aktualnego użytkownika. Atakujący może wykorzystać tę podatność, aby uruchomić dowolny kod.

CVE-2026-44343
Krytyczne

WGDashboard, panel do zarządzania VPN WireGuard, przed wersją 4.3.2 zawierał krytyczne podatności, które mogły umożliwić nieautoryzowanym osobom dostęp do systemu plików hosta bez uwierzytelnienia.

CVE-2026-44277
Krytyczne

W Fortinet FortiAuthenticator w wersjach 8.0.2, 8.0.0, 6.6.0 do 6.6.8 oraz 6.5.0 do 6.5.6 występuje podatność związana z niewłaściwą kontrolą dostępu. Może ona umożliwić atakującemu wykonanie nieautoryzowanego kodu lub poleceń za pomocą spreparowanych żądań.

CVE-2026-44196
Krytyczne

W Pingvin Share X w wersjach od 1.14.1 do 1.16.2 występuje krytyczna podatność na obejście uwierzytelniania, która pozwala atakującemu, posiadającemu ważną nazwę użytkownika i hasło, całkowicie pominąć wymóg uwierzytelnienia dwuskładnikowego (TOTP). Podatność ta została naprawiona w wersji 1.16.3.

CVE-2026-44183
Krytyczne

CVE-2026-44183 dotyczy narzędzia Cleanuparr, które automatyzuje usuwanie niechcianych plików w Sonarr, Radarr i obsługiwanych klientach pobierania. W wersjach przed 2.9.10, atakujący mógł wykorzystać nagłówek X-Forwarded-For do podszywania się pod adres IP klienta, co pozwalało na nieautoryzowany dostęp do konta administratora.

CVE-2026-42898
Krytyczne

Nieprawidłowa kontrola generowania kodu ('iniekcja kodu') w Microsoft Dynamics 365 (wersja lokalna) pozwala autoryzowanemu atakującemu na wykonanie kodu w sieci.

CVE-2026-42833
Krytyczne

Nieprawidłowa kontrola generowania kodu ('iniekcja kodu') w Microsoft Dynamics 365 (wersja lokalna) umożliwia autoryzowanemu atakującemu wykonanie kodu w sieci.

PoprzedniaStrona 79 z 560Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS