Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.13)

CVE-2026-48516
Wysokie

W bibliotece MessagePack dla C# występuje podatność, która dotyczy konstrukcji wewnętrznego słownika z domyślnym porównywaczem równości. Wersje przed 2.5.301 i 3.1.7 są narażone na atak typu denial of service z wykorzystaniem kolizji haszów.

CVE-2026-48515
Wysokie

MessagePack dla C# przed wersjami 2.5.301 i 3.1.7 ma podatność, która pozwala na alokację dużych tablic wielowymiarowych przed walidacją danych. W wyniku tego, mały ładunek może zadeklarować duże wymiary, co prowadzi do nieefektywnego wykorzystania pamięci.

CVE-2026-48514
Wysokie

W bibliotece MessagePack dla C# przed wersjami 2.5.301 i 3.1.7 występuje podatność, która pozwala na odczytanie długości bajtów kontrolowanej przez atakującego z ładunku rozszerzenia. W wyniku tego, możliwe jest przydzielenie dużej tablicy T[] bez odpowiedniej walidacji, co może prowadzić do problemów z alokacją pamięci.

CVE-2026-48513
Wysokie

W bibliotece MessagePack dla C# przed wersjami 2.5.301 i 3.1.7 występuje podatność związana z deserializacją unii, która nie przestrzega ograniczenia głębokości obiektów. Deserializatory generowane w czasie wykonywania nie wywołują odpowiednich kroków zabezpieczających, co prowadzi do potencjalnych problemów z bezpieczeństwem.

CVE-2026-48512
Wysokie

MessagePack for C# przed wersjami 2.5.301 i 3.1.7 zawiera wielokrotne ścieżki rekurencyjne w komponentach konwersji JSON, które nie egzekwują limitu głębokości. Te ścieżki mogą prowadzić do wyczerpania stosu procesora i wywołania nieuchwytnego wyjątku StackOverflowException.

CVE-2026-48511
Wysokie

MessagePack dla C# ma podatność w metodzie Deserializacji ExpandoObjectFormatter, która może prowadzić do znacznego obciążenia CPU i pamięci w przypadku dużych map kontrolowanych przez atakującego. Problem ten występuje przed wersjami 2.5.301 i 3.1.7.

CVE-2026-48510
Wysokie

MessagePack dla C# ma podatność, która pozwala na nieprawidłowe alokacje pamięci podczas dekompresji danych Lz4Block lub Lz4BlockArray. Przed wersjami 2.5.301 i 3.1.7, nie weryfikowano poprawności danych skompresowanych przed alokacją buforów wyjściowych.

CVE-2026-48506
Wysokie

MessagePack dla C# ma podatność, która pozwala na rekurencyjne zstępowanie w głąb zagnieżdżonych tablic i map bez odpowiednich kontroli głębokości. Może to prowadzić do nieograniczonej rekurencji i wyjątku StackOverflow.

CVE-2026-48505
Wysokie

W wersjach od 4.0.0 do 4.11.5 oraz 5.6.5 Filament występuje luka w obsłudze kodów odzyskiwania dla aplikacyjnej wieloskładnikowej autoryzacji, która pozwala na wielokrotne użycie tego samego kodu poprzez równoczesne przesyłanie. Problem ten nie dotyczy autoryzacji opartej na e-mailu i występuje tylko wtedy, gdy kody odzyskiwania są włączone.

CVE-2026-48502
Wysokie

W bibliotece MessagePack dla C# przed wersjami 2.5.301 i 3.1.7, metoda MessagePackReader.ReadDateTime() może alokować pamięć na stosie na podstawie długości rozszerzenia kontrolowanej przez atakującego. W przypadku analizy rozszerzenia znaczników czasowych, długość ciała rozszerzenia nie jest weryfikowana przed alokacją pamięci, co może prowadzić do wystąpienia wyjątku StackOverflowException.

CVE-2026-48109
Wysokie

W bibliotece MessagePack dla C# występuje podatność w opcjonalnej ścieżce dekompresji LZ4, która może prowadzić do odczytów poza granicami bufora. Atakujący może wysłać spreparowany ładunek MessagePack, co może skutkować zakończeniem procesu.

CVE-2025-71358
Wysokie

Picklescan w wersjach przed 0.0.29 nie wykrywa złośliwych plików pickle, które wykorzystują funkcję idlelib.autocomplete.AutoComplete.get_entity w metodach reduce. Atakujący mogą osadzić niewykryty kod w plikach pickle, który wykonuje dowolne polecenia po załadowaniu przez ofiary przy użyciu pickle.load().

CVE-2025-71344
Wysokie

Picklescan w wersjach przed 0.0.30 (dotknięte wersje 0.0.26 i wcześniejsze) nie wykrywa wbudowanej funkcji ensurepip._run_pip podczas skanowania plików pickle, co pozwala atakującym na wykonanie dowolnego kodu. Złośliwe pliki pickle, które zawierają wywołania ensurepip._run_pip w metodach __reduce__, omijają wykrywanie przez picklescan i umożliwiają zdalne wykonanie kodu po wywołaniu pickle.load().

CVE-2025-71339
Wysokie

Picklescan przed wersją 0.0.33 nie wykrywa gadżetu numpy.f2py.crackfortran._eval_length w metodach __reduce__ pickle, co umożliwia wykonanie dowolnego kodu. Atakujący mogą stworzyć złośliwe pliki pickle, które wykonują dowolny kod Pythona, gdy są ładowane przez ofiary ufające walidacji bezpieczeństwa Picklescan.

CVE-2026-55603
Wysokie

W bibliotece http-proxy-middleware w wersjach od 3.0.4 do 3.0.7 oraz 4.1.1 występuje podatność związana z metodą fixRequestBody(). Przy wysyłaniu danych w formacie multipart/form-data, atakujący może wstrzyknąć nowe części formularza, co prowadzi do desynchronizacji danych między proxy a backendem.

CVE-2026-44274
Wysokie

Podatność w Dell Wyse Management Suite (WMS) przed wersją 2605 wynika z nieprawidłowego rozwiązywania odnośników przed dostępem do pliku. Umożliwia ona atakującemu z niskimi uprawnieniami i lokalnym dostępem uzyskanie nieautoryzowanego dostępu.

CVE-2026-44272
Wysokie

Podatność SQL Injection w Dell Wyse Management Suite (WMS) przed wersją 2605 pozwala niskouprzywilejowanemu atakującemu na zdalne wykonanie nieautoryzowanych zapytań do bazy danych. Luka wynika z nieprawidłowego neutralizowania specjalnych elementów w poleceniach SQL.

CVE-2026-44271
Wysokie

W systemie Dell Wyse Management Suite (WMS) w wersjach starszych niż 2605 wykryto podatność na wstrzykiwanie SQL. Luka ta wynika z nieprawidłowego neutralizowania specjalnych elementów w poleceniach SQL. Umożliwia ona atakującemu z niskimi uprawnieniami i zdalnym dostępem uzyskanie nieautoryzowanego dostępu do systemu.

CVE-2026-54299
Wysokie

Astro to framework webowy, który przed wersją 6.4.6 miał problem z aplikacjami SSR, które korzystały z prerenderowanych stron błędów. W przypadku wystąpienia błędu, strony te były pobierane przez HTTP, co umożliwiało atakującemu skierowanie żądania do dowolnego hosta.

CVE-2026-54293
Wysokie

NLTK przed wersją 3.10.0-rc1 zawiera podatność na path traversal w funkcji nltk.data.load() przy użyciu schematu URL nltk:. Zabezpieczenie regex sprawdza ścieżkę przed dekodowaniem sekwencji %xx, co pozwala atakującemu ominąć ochronę i odczytać dowolne pliki z systemu plików.

PoprzedniaStrona 91 z 3355Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS