Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.13)

CVE-2025-71337
Wysokie

Flowise w wersjach przed 3.0.10 (dotknięte wersje 3.0.7 i wcześniejsze) zawiera podatność na niezweryfikowaną zmianę adresu e-mail. Użytkownik z autoryzacją może zmienić adres e-mail konta bez potwierdzenia zmiany na oryginalny adres e-mail lub ponownego wprowadzenia aktualnego hasła.

CVE-2026-10521
Wysokie

Wysokoprawny atakujący zdalnie może uzyskać dostęp do ukrytej metody konfiguracyjnej, która nie powinna być dostępna dla żadnego użytkownika, aby zmodyfikować krytyczne parametry programu.

CVE-2026-8379
Wysokie

Wtyczka Frontend File Manager dla WordPressa do wersji 23.6 nie wymusza poprawnie sprawdzenia nonce w obsłudze pobierania plików, co pozwala nieautoryzowanym atakującym na pobieranie plików przesłanych przez dowolnego użytkownika.

CVE-2026-8172
Wysokie

Wtyczka Simple Basic Contact Form dla WordPressa do wersji 20250114 nie zabezpiecza danych wejściowych dostarczonych przez użytkowników przed ich wyświetleniem w formularzu kontaktowym w przypadku błędów walidacji, co prowadzi do podatności na Reflected Cross-Site Scripting.

CVE-2026-8163
Wysokie

Wtyczka Infility Global dla WordPressa przed wersją 2.15.19 nieprawidłowo sanitizuje i ucieka niektóre parametry przed ich użyciem w zapytaniach SQL, co prowadzi do podatności na atak typu SQL Injection. Atak ten może być wykorzystany przez uwierzytelnionych użytkowników z dostępem na poziomie Subskrybenta i wyżej.

CVE-2026-11833
Wysokie

W FAST/TOOLS i CI Server odkryto podatność, która pozwala serwerowi WWW na zwrócenie informacji o ustawieniach CI Server. Te informacje mogą być wykorzystane przez atakującego do przeprowadzenia innych ataków.

CVE-2026-10658
Wysokie

W Zephyr Bluetooth Host w ścieżce odbioru ISO brakuje walidacji długości nagłówka SDU. Nieprawidłowo sformowane dane HCI ISO mogą wywołać asercję jądra (odmowa usługi) lub odczyt poza zakresem bufora.

CVE-2026-10651
Wysokie

W Zephyr OS wykryto podatność w parserze SDP Bluetooth Classic. Nieprawidłowo sformowany atrybut SDP może wywołać asercję prowadzącą do paniki jądra (odmowa usługi) w wersjach z włączonymi asercjami, a w wersjach bez asercji może skutkować odczytem poza zakresem bufora.

CVE-2026-54232
Wysokie

vLLM, silnik do wnioskowania i serwowania dużych modeli językowych, ma podatność na atak związany z myleniem zależności w wersji przed 0.22.1. Atakujący może zarejestrować pakiet flashinfer-jit-cache na PyPI, co pozwala na wykonanie dowolnego kodu jako root podczas budowy obrazu Docker.

CVE-2026-53923
Wysokie

vLLM, silnik do wnioskowania i serwowania dużych modeli językowych, ma podatność na truncację liczb całkowitych w wymiarach tensorów, co prowadzi do częściowego przetwarzania tensorów. W wyniku tego, niepełna część tensoru wyjściowego może zawierać dane z pamięci GPU, co prowadzi do ujawnienia informacji.

CVE-2026-41523
Wysokie

W vLLM przed wersją 0.22.0, w funkcji ładowania aktywacji, brak odpowiedniego zabezpieczenia opartego na asercji pozwala nieuwierzytelnionemu atakującemu na zdalne wykonanie dowolnego kodu poprzez opublikowanie złośliwego modelu na HuggingFace, gdy vLLM działa w zoptymalizowanym trybie Pythona (python -O lub PYTHONOPTIMIZE=1).

CVE-2026-56324
Wysokie

Capgo w wersjach przed 12.128.2 zawiera podatność na obejście limitu szybkości w punkcie końcowym channel_self, co pozwala atakującym na ominięcie ograniczeń poprzez rotację parametru device_id kontrolowanego przez użytkownika.

CVE-2026-56323
Wysokie

Capgo w wersjach przed 12.128.2 zawiera podatność na ujawnienie informacji w punkcie końcowym /functions/v1/channel_self, która pozwala nieautoryzowanym atakującym na enumerację nazw kanałów niepublicznych oraz określenie istnienia aplikacji i statusu subskrypcji. Atakujący mogą wysyłać żądania GET z dowolnymi parametrami app_id, aby ujawniać wewnętrzne kanały wdrożeniowe.

CVE-2026-56314
Wysokie

Capgo w wersjach przed 12.128.12 nie filtruje usuniętych wersji aplikacji podczas łączenia kanałów w trakcie rozwiązywania aktualizacji, co pozwala na pozostawienie usuniętych pakietów jako dostępnych do wyboru.

CVE-2026-56280
Wysokie

Cap-go przed wersją 12.128.2 zawiera podatność na inwersję uprawnień w GET /build/logs/:jobId, która pozwala posiadaczom kluczy API tylko do odczytu na anulowanie działających natywnych budów. Punkt końcowy rejestruje nasłuchiwacz przerwania na strumieniu SSE, który bezwarunkowo wywołuje cancelBuildOnDisconnect() przy użyciu uprzywilejowanego klucza BUILDER_API_KEY.

CVE-2026-56268
Wysokie

Flowise w wersjach przed 3.1.2 zawiera podatność na ujawnienie informacji w punkcie końcowym /api/v1/chatflows/apikey/:apikey. Brak parametru zapytania keyonly powoduje, że punkt końcowy zwraca nie tylko chatflow związane z dostarczonym kluczem API, ale także wszystkie chatflow w każdym workspace, które nie mają przypisanego klucza API.

CVE-2026-56266
Wysokie

Crawl4AI przed wersją 0.8.7 zawiera podatność na fałszowanie żądań po stronie serwera (SSRF) w endpointach /crawl, /crawl/stream, /md i /llm, które pobierają dowolne adresy URL podane przez użytkownika bez walidacji. Nieuwierzytelnieni atakujący mogą ominąć blokadę adresów wewnętrznych za pomocą adresów IPv6 mapowanych na IPv4, aby uzyskać dostęp do wewnętrznych usług i punktów końcowych metadanych chmury.

CVE-2026-55409
Wysokie

Filament to zbiór komponentów do przyspieszonego rozwoju w Laravel. W wersjach od 3.0.0 do 3.3.53, wyłączone pole RichEditor renderowało swój surowy stan bez sanitizacji HTML, co umożliwiało atakującym wstrzykiwanie złośliwego HTML lub JavaScript, prowadząc do XSS.

CVE-2026-54281
Wysokie

W frameworku Nest, przed wersją 11.1.24, występowała podatność na obejście uwierzytelniania w @nestjs/platform-fastify. Klient, który nie jest uwierzytelniony, może obejść middleware Nest, dodając ukośnik (/) na końcu adresu URL żądania.

CVE-2026-48517
Wysokie

W bibliotece MessagePack dla C# występuje podatność związana z deserializacją typów, która nie sprawdza rekurencyjnie typów elementów tablicy ani argumentów typów generycznych. To może prowadzić do sytuacji, w której niebezpieczny typ, który powinien być zablokowany, może zostać zdeserializowany, jeśli jest opakowany w tablicę lub typ generyczny.

PoprzedniaStrona 90 z 3355Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS