Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-53724
Niskie

Parse Server przed wersjami 8.6.79 i 9.9.1-alpha.4 pozwalał na obejście domyślnej listy blokowanych rozszerzeń plików poprzez dodanie kropki na końcu nazwy pliku. To umożliwia atakującym przesyłanie plików z niebezpiecznymi typami MIME, co prowadzi do możliwości wykonania ataków XSS.

CVE-2026-12065
Niskie

Zidentyfikowano podatność w aplikacji Groww Stock, Mutual Fund, Gold na Androida, która dotyczy nieznanej części komponentu WebView URL Handler. Manipulacja prowadzi do niewłaściwej autoryzacji w obsłudze niestandardowego schematu URL.

CVE-2026-48485
Niskie

Quest Bot to otwartoźródłowy bot Discord, który przed wersją 1.1.6 nie tłumił wzmiankowania przy wywoływaniu komendy /warns, co mogło prowadzić do masowego pingowania użytkowników.

CVE-2026-9269
Niskie

Wtyczka Secure Copy Content Protection i Content Locking dla WordPressa przed wersją 5.1.5 nie sanitizuje i nie ucieka niektórych swoich ustawień, co może umożliwić użytkownikom o wysokich uprawnieniach, takim jak administratorzy, przeprowadzenie ataków typu Stored Cross-Site Scripting, nawet gdy możliwość unfiltered_html jest zablokowana.

CVE-2026-12032
Niskie

Nieodpowiednia implementacja w systemie haseł w Google Chrome na Androidzie przed wersją 149.0.7827.115 umożliwiła zdalnemu atakującemu, który przejął proces renderowania, ominięcie izolacji witryn za pomocą spreparowanej strony HTML.

CVE-2026-12017
Niskie

Nieodpowiednia implementacja w rozszerzeniach Google Chrome przed wersją 149.0.7827.115 umożliwiała zdalnemu atakującemu, który przejął proces renderowania, obejście izolacji witryn za pomocą spreparowanej strony HTML.

CVE-2026-53809
Niskie

OpenClaw w wersjach przed 2026.4.25 zawiera lukę w polityce, która pozwala na obejście zasad wbudowanego runnera. Umożliwia to atakującym porównywanie aliasów dostawców zamiast ich kanonicznych tożsamości, co może prowadzić do nieautoryzowanego dostępu do narzędzi.

CVE-2026-47188
Niskie

Quest Bot to otwartoźródłowy bot Discorda, który przed wersją 1.0.5 nie tłumił wzmiankowania w niektórych komendach moderacyjnych. Komendy /unban i /unwarn nadal wysyłały tekst powodu kontrolowanego przez użytkownika w publicznych wiadomościach bota, co mogło prowadzić do masowego pingowania.

CVE-2026-47175
Niskie

Quest Bot to nowoczesny bot Discord stworzony do moderacji, narzędzi i wsparcia. W wersjach przed 1.0.4, kilka komend moderacyjnych wyświetlało tekst powodów kontrolowanych przez użytkownika w publicznych odpowiedziach bota, nie wyłączając analizy wzmiankowania.

CVE-2026-44489
Niskie

Podatność w Axios, kliencie HTTP, pozwala na wstrzyknięcie złośliwych danych do nagłówka Proxy-Authorization w przypadku, gdy obiekt proxy jest zanieczyszczony. Problem występuje w wersjach od 1.15.2 do przed 1.16.0, gdzie funkcja setProxy() nie sprawdza właściwości obiektów.

CVE-2026-11956
Niskie

W podatności CVE-2026-11956 zidentyfikowano problem w wersji 5.36.0 komponentu TwiN gatus, dotyczący funkcji setSessionCookie w pliku security/oidc.go. Manipulacja tą funkcją może prowadzić do uzyskania wrażliwego ciasteczka bez atrybutu secure.

CVE-2026-9694
Niskie

GitLab naprawił problem w GitLab CE/EE, który dotyczy wszystkich wersji od 15.9 przed 18.10.8, 18.11 przed 18.11.5 oraz 19.0 przed 19.0.2. W określonych warunkach, nieautoryzowany użytkownik mógł podszyć się pod GitLab Support Bot i wstrzyknąć dowolną treść poprzez specjalnie przygotowaną odpowiedź e-mail w Service Desk z powodu niewłaściwego przetwarzania szablonów e-mail.

CVE-2026-6976
Niskie

GitLab naprawił problem w GitLab CE/EE, który dotyczył wszystkich wersji od 15.9 przed 18.10.8, 18.11 przed 18.11.5 oraz 19.0 przed 19.0.2. W określonych warunkach, uwierzytelniony użytkownik z uprawnieniami dewelopera mógł ukryć zmiany w widokach różnic zgłoszeń scalania z powodu niewłaściwego przetwarzania nazw plików.

CVE-2026-3553
Niskie

GitLab naprawił problem w GitLab CE/EE, który dotyczył wszystkich wersji od 12.0 przed 18.10.8, 18.11 przed 18.11.5 oraz 19.0 przed 19.0.2. W określonych warunkach mogło to pozwolić uwierzytelnionemu użytkownikowi na dostęp do poufnych szczegółów problemów z powodu błędnych kontroli autoryzacji.

CVE-2026-41000
Niskie

Wss4jSecurityInterceptor nie zawsze poprawnie integrował instancje ReplayCache z Apache WSS4J w RequestData do sprawdzania w czasie walidacji. Może to prowadzić do nieskuteczności zabezpieczeń przed powtórnym użyciem nonces UsernameToken oraz znaczników czasowych.

CVE-2026-47712
Niskie

Dulwich, implementacja formatów i protokołów Git w czystym Pythonie, miała lukę, która pozwalała na generowanie nazw plików łat w oparciu o linię tematu commitów. Wersje od 0.24.0 do przed 1.2.5 nie sanitizowały odpowiednio tych nazw, co mogło prowadzić do zapisania plików poza wskazanym katalogiem.

CVE-2026-48011
Niskie

Shopware to otwarta platforma handlowa. Przed wersjami 6.6.10.18 i 6.7.10.1, atakujący mógł enumerować nazwy użytkowników administratorów za pomocą ataku czasowego.

CVE-2026-46668
Niskie

SpiceDB to system baz danych typu open source, który służy do tworzenia i zarządzania uprawnieniami aplikacji krytycznych dla bezpieczeństwa. W wersjach od 1.15.0 do przed 1.52.0 struktury caveat z zagnieżdżonymi listami mogą prowadzić do niewłaściwego ponownego użycia pamięci podręcznej. Problem został naprawiony w wersji 1.52.0.

CVE-2026-45380
Niskie

W bibliotece bit7z przed wersją 4.0.12 występował błąd off-by-one w funkcji SafeOutPathBuilder::restoreSymlink(), który pozwalał atakującemu na stworzenie archiwum .7z. Po jego rozpakowaniu na platformach innych niż Windows, tworzony był symlink, który mógł wyjść poza zamierzony katalog wyjściowy.

CVE-2026-0266
Niskie

W podatności XSS w oprogramowaniu Palo Alto Networks PAN-OS® złośliwy, uwierzytelniony administrator może przechować ładunek JavaScript za pomocą interfejsu webowego.

PoprzedniaStrona 9 z 61Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS