Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-37709
Krytyczne

W podatności o nazwie CVE-2026-37709 występuje niebezpieczna konfiguracja uprawnień w grokability snipe-it w wersji 8.4.0 i wcześniejszych, która została naprawiona po commitcie 676a9958 z dnia 10 marca 2026 roku. Umożliwia to zdalnemu atakującemu wykonanie dowolnego kodu za pośrednictwem komponentu app/Http/Controllers/Api/UploadedFilesController.php.

CVE-2026-7415
Krytyczne

Broker MQTT w oprogramowaniu Yarbo w wersji 2.3.9 jest skonfigurowany do zezwalania na anonimowe połączenia bez kontroli dostępu na poziomie tematów. Każdy host w tej samej sieci może subskrybować wrażliwe tematy telemetryczne lub publikować wiadomości kontrolne bez jakiejkolwiek autoryzacji.

CVE-2026-7414
Krytyczne

Oprogramowanie układowe Yarbo w wersji 2.3.9 zawiera wbudowane, twardo zakodowane dane logowania administracyjnego. Te dane są identyczne we wszystkich urządzeniach działających na tym oprogramowaniu i nie mogą być zmieniane ani usuwane przez użytkowników końcowych.

CVE-2025-63704
Krytyczne

Pakiet NPM query-parser-string w wersji 1.0.0 jest podatny na zanieczyszczenie prototypu. Pakiet nieprawidłowo oczyszcza parametry zapytania dostarczane przez użytkownika i łączy je z nowo utworzonym obiektem.

CVE-2025-63703
Krytyczne

Pakiet npm parse-ini w wersji 1.0.6 jest podatny na zanieczyszczenie prototypu w funkcji index.js().

CVE-2026-36458
Krytyczne

ChestnutCMS w wersji 1.5.10 zawiera podatność na wstrzykiwanie SQL. Parametr content tagu cms_content może być manipulowany w panelu administracyjnym i wstrzykiwany do zapytania SQL podczas renderowania szablonu.

CVE-2025-63706
Krytyczne

Pakiet NPM next-npm-version w wersji 1.0.1 jest podatny na atak typu Command injection, co może umożliwić atakującemu wykonanie nieautoryzowanych poleceń w systemie.

CVE-2026-6795
Krytyczne

W podatności CVE-2026-6795 występuje problem z przekierowaniem URL do nieufnej strony ('open redirect') w systemie DivvyDrive. Umożliwia to wstrzykiwanie parametrów, co może prowadzić do nieautoryzowanego dostępu.

CVE-2026-41589
Krytyczne

Wish to serwer SSH, który w wersjach od 2.0.0 do przed 2.0.1 jest podatny na ataki typu path traversal w middleware SCP. Złośliwy klient SCP może odczytywać dowolne pliki z serwera, zapisywać pliki oraz tworzyć katalogi poza skonfigurowanym katalogiem głównym, wysyłając odpowiednio skonstruowane nazwy plików zawierające sekwencje ../ przez protokół SCP.

CVE-2026-30496
Krytyczne

Projektor Optoma CinemaX P2 (firmware TVOS-04.24.010.04.01, Android 8.0.0) udostępnia API HTTP na porcie TCP 2345, które umożliwia pełną, nieautoryzowaną zdalną kontrolę urządzenia. API pozwala na odczyt i modyfikację ustawień projektora, takich jak głośność, wyciszenie, jasność i inne funkcje.

CVE-2026-8094
Krytyczne

W komponencie WebRTC przeglądarki Firefox i klienta poczty Thunderbird wykryto nieokreśloną podatność. Luka została załatana w wersjach ESR 140.10.2 Firefoksa oraz Thunderbird 140.10.2.

CVE-2026-8091
Krytyczne

Podatność w komponencie odtwarzania audio/wideo przeglądarki Firefox i klienta poczty Thunderbird wynika z nieprawidłowych warunków brzegowych. Luka została załatana w wersjach Firefox 150, Thunderbird 150, Firefox ESR 140.10.1, Thunderbird 140.10.1 oraz Firefox ESR 115.35.2.

CVE-2026-6508
Krytyczne

W podatności CVE-2026-6508 w oprogramowaniu Liderahenk występuje błąd walidacji pochodzenia, który pozwala na dostęp do funkcjonalności, która nie jest odpowiednio ograniczona przez listy kontroli dostępu (ACL). Problem dotyczy wersji Liderahenk od 2.0.1 do przed 2.0.2.

CVE-2026-33587
Krytyczne

Brak sanitizacji danych wejściowych użytkownika w Open Notebook v1.8.3 umożliwia wykonanie kodu Pythona (a następnie poleceń systemowych) w kontenerze docker poprzez wstrzyknięcie szablonu po stronie serwera (SSTI) dla transformacji tworzonych przez użytkownika.

CVE-2026-41586
Krytyczne

Hyperledger Fabric w wersjach od 1.0.0 do 2.2.26 zawiera podatność w klasie Channel.java, która implementuje metodę readObject() i eksponuje deSerializeChannel(). Metoda ta wywołuje ObjectInputStream.readObject() na nieufnych tablicach bajtów bez konfiguracji ObjectInputFilter, co prowadzi do klasycznego wzorca RCE związanym z deserializacją w Javie.

CVE-2026-42217
Krytyczne

OpenEXR w wersjach od 3.0.0 do przed 3.2.9, 3.3.0 do przed 3.3.11 oraz 3.4.0 do przed 3.4.11 ma problem z funkcją readVariableLengthInteger(), która dekoduje zmienną długość liczby całkowitej z niezaufanego wejścia EXR bez ograniczenia liczby przesunięć. Po wystarczającej liczbie bajtów kontynuacji, kod wykonuje przesunięcie w lewo o 70 na 64-bitowej wartości, co prowadzi do nieokreślonego zachowania.

CVE-2026-42216
Krytyczne

W bibliotece OpenEXR w wersjach od 3.0.0 do 3.2.9, od 3.3.0 do 3.3.11 oraz od 3.4.0 do 3.4.11 wykryto podatność w funkcji IDManifest::init(). Podczas rekonstrukcji ciągów znaków z reprezentacji skompresowanej prefiksowo, kod odczytuje bajty bez sprawdzenia, czy bieżący ciąg ma co najmniej dwa bajty, co może prowadzić do odczytu poza zakresem.

CVE-2026-41203
Krytyczne

CI4MS to szkielet CMS oparty na CodeIgniter 4, który przed wersją 0.31.5.0 miał lukę w funkcji Theme::upload. Umożliwia ona uwierzytelnionemu użytkownikowi backendowemu z uprawnieniami do tworzenia motywów przesyłanie plików ZIP bez walidacji nazw wpisów, co prowadzi do możliwości wykonania zdalnego kodu.

CVE-2026-41202
Krytyczne

W wersjach przed 0.31.5.0, funkcja Backup::restore w CI4MS nie weryfikuje nazw plików w przesyłanych archiwach ZIP, co pozwala uwierzytelnionemu użytkownikowi na zapis plików w dowolnych lokalizacjach systemu plików, co może prowadzić do zdalnego wykonania kodu.

CVE-2026-41201
Krytyczne

W wersji 0.31.4.0 CI4MS, oparty na CodeIgniter 4, zawiera podatność na pełne przejęcie konta oraz eskalację uprawnień poprzez przechowywane DOM XSS w polu nazwy pliku modułu kopii zapasowej. Atakujący może manipulować tym polem za pomocą pliku SQL, wprowadzając ukryty ładunek XSS.

PoprzedniaStrona 83 z 544Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS