Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-56224
Średnie

Podatność w Capgo console.capgo.app/login przed wersją 12.128.2 polega na akceptowaniu tokenów access_token i refresh_token w parametrach zapytania URL, co umożliwia automatyczne uwierzytelnianie użytkowników bez ich potwierdzenia. Atakujący mogą tworzyć złośliwe linki, które zmuszają ofiary do korzystania z sesji kontrolowanych przez atakującego, narażając tokeny na ujawnienie w historii przeglądarki i logach.

CVE-2026-56219
Wysokie

Podatność w Capgo przed wersją 12.128.2 umożliwia nieuwierzytelnionym atakującym ominięcie autoryzacji w funkcji public.get_org_user_access_rbac. Poprzez niewłaściwe porównanie wartości NULL w bramce autoryzacji, atakujący mogą ujawnić powiązania ról RBAC oraz adresy e-mail członków organizacji, wykorzystując jedynie publiczny klucz API.

CVE-2026-55721
Krytyczne

Podatność SQL injection w Storage Concentrator (SC & SCVM) występuje przez wartości ciasteczek przetwarzane przez skrypty login.pl i debug.pl. Niezabezpieczone dane z ciasteczek są bezpośrednio włączane do zapytań do bazy danych, co pozwala nieuwierzytelnionemu atakującemu na manipulację zapytaniami i wyodrębnienie wrażliwych informacji, takich jak tokeny sesji, hashe haseł i tajne klucze.

CVE-2026-55223
Średnie

Biblioteka c3p0 w wersjach przed 0.14.0, w połączeniu z innymi bibliotekami, może stanowić „sink” dla gadżetów deserializacji. Atakujący może stworzyć złośliwy obiekt DataSource, który podczas deserializacji i automatycznego rozwiązywania właściwości JavaBean wywołuje podatny sterownik JDBC, co prowadzi do zdalnego wykonania kodu.

CVE-2026-54696
Niskie

Podatność w bibliotece Ruby JSON (wersje 2.9.0 do 2.19.8) powoduje przepełnienie bufora sterty podczas generowania JSON dla przesyłanego obiektu o nadmiernym rozmiarze. Atakujący może dostarczyć kontrolowany ciąg znaków bliski 16 KB, co prowadzi do zapisu poza buforem wewnętrznym generatora JSON.

CVE-2026-54673
Wysokie

Podatność w bibliotece electron-updater przed wersją 9.7.0 umożliwia wyciek nagłówków uwierzytelniających podczas przekierowań HTTP. Mechanizm obsługi przekierowań usuwał jedynie nagłówek 'authorization' zapisany małymi literami, pomijając inne wrażliwe nagłówki, takie jak 'PRIVATE-TOKEN' czy 'Authorization' z mieszaną wielkością liter, co mogło prowadzić do ujawnienia danych uwierzytelniających.

CVE-2026-54672
Wysokie

Podatność w electron-updater przed wersją 26.15.0 pozwala na dodanie bieżącego katalogu roboczego do ścieżki wyszukiwania bibliotek dynamicznych przez pusty komponent ścieżki w zmiennej LD_LIBRARY_PATH. Atakujący może umieścić złośliwą bibliotekę współdzieloną w katalogu uruchomienia AppImage, co prowadzi do wykonania dowolnego kodu.

CVE-2026-52198
Wysokie

W urządzeniu UTT nv518G w wersji oprogramowania nv518GV3v3.2.7-210919-161313 wykryto podatność na przepełnienie bufora. Zdalny atakujący może wykorzystać komponent gohead/sub_425994, aby spowodować odmowę usługi (DoS).

CVE-2026-52197
Wysokie

Podatność w routerze UTT nv518G w wersji oprogramowania nv518GV3v3.2.7-210919-161313 umożliwia zdalnemu atakującemu spowodowanie odmowy usługi (DoS) poprzez komponent gohead/sub_44af70.

CVE-2026-52195
Wysokie

W urządzeniu UTT nv518G w wersji oprogramowania nv518GV3v3.2.7-210919-161313 wykryto podatność na przepełnienie bufora. Zdalny atakujący może wykorzystać tę lukę w komponencie gohead/sub_472f08, powodując odmowę usługi (DoS).

CVE-2026-52193
Wysokie

W urządzeniu UTT nv518G w wersji oprogramowania nv518GV3v3.2.7-210919-161313 wykryto podatność na przepełnienie bufora. Zdalny atakujący może wykorzystać komponent gohead/sub_447CAC, aby spowodować odmowę usługi (DoS).

CVE-2026-50110
Krytyczne

Storage Concentrator (SC & SCVM) zawiera zakodowane na stałe poświadczenia dla wielu wewnętrznych usług, przechowywane w pliku konfiguracyjnym. Mimo że poświadczenia są zakodowane, kodowanie to można odwrócić do postaci jawnego tekstu.

CVE-2026-50040
Średnie

Storage Concentrator (SC i SCVM) jest podatny na odbite cross-site scripting z powodu nieoczyszczonej treści zwracanej w stronach błędów 404. Atakujący może stworzyć złośliwy URL, który po odwiedzeniu przez uwierzytelnionego użytkownika powoduje wykonanie dowolnego skryptu w kontekście aplikacji w przeglądarce ofiary.

CVE-2026-28322
Średnie

W SolarWinds Database Performance Analyzer wykryto podatność na przechowywany skrypt między witrynami (stored XSS). Jej wykorzystanie może prowadzić do nieautoryzowanego wykonania skryptów w kontekście przeglądarki użytkownika.

CVE-2026-14156
Średnie

W Google Chrome przed wersją 150.0.7871.47 wykryto niewystarczające egzekwowanie zasad w StorageAccessAPI. Luka umożliwia zdalnemu atakującemu, który przejął proces renderowania, ominięcie polityki samego pochodzenia za pomocą spreparowanej strony HTML.

CVE-2026-14155
Średnie

W Google Chrome przed wersją 150.0.7871.47 stwierdzono niewystarczające egzekwowanie zasad w interfejsie StorageAccessAPI, co umożliwiało zdalnemu atakującemu wyciek danych między źródłami za pomocą spreparowanej strony HTML.

CVE-2026-14154
Średnie

Podatność w DevTools w Google Chrome przed wersją 150.0.7871.47 umożliwia atakującemu, który przekona użytkownika do zainstalowania złośliwego rozszerzenia, przeprowadzenie fałszowania interfejsu użytkownika za pomocą spreparowanego rozszerzenia Chrome.

CVE-2026-14153
Średnie

Podatność w komponencie Glic w przeglądarce Google Chrome przed wersją 150.0.7871.47 umożliwiała zdalnemu atakującemu, po przekonaniu użytkownika do wykonania określonych gestów interfejsu, przeprowadzenie fałszowania interfejsu użytkownika za pomocą spreparowanej strony HTML. Problem został sklasyfikowany jako niskiego ryzyka.

CVE-2026-14152
Krytyczne

Podatność w komponencie ANGLE w przeglądarce Google Chrome przed wersją 150.0.7871.47 umożliwiała zdalnemu atakującemu, który przejął proces renderowania, potencjalne opuszczenie piaskownicy poprzez specjalnie spreparowaną stronę HTML. Problem wynika z odczytu i zapisu poza dozwolonym zakresem pamięci.

CVE-2026-14151
Wysokie

Nieprawidłowa implementacja w funkcji AI w przeglądarce Google Chrome przed wersją 150.0.7871.47 umożliwiała zdalnemu atakującemu, który skompromitował proces renderowania, potencjalne opuszczenie piaskownicy (sandbox escape) za pomocą spreparowanej strony HTML. Podatność ma niski priorytet bezpieczeństwa Chromium.

PoprzedniaStrona 80 z 4537Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS