Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.13)

CVE-2026-56446
Wysokie

MISP umożliwia administratorowi serwisu skonfigurowanie dowolnej ścieżki systemu plików dla logu błędów NDJSON używanego przez JsonLogTool. Z powodu możliwości wstrzyknięcia kodu PHP przez atakującego, który ma uprawnienia administratora, może dojść do zdalnego wykonania kodu.

CVE-2026-56425
Wysokie

Implementacja uwierzytelniania Azure Active Directory (AAD) zawierała wiele słabości w przepływie autoryzacji OAuth 2.0, umożliwiających atakującym ominięcie ważnych zabezpieczeń protokołu. Podatność dotyczy m.in. wycieku identyfikatora sesji, braku rotacji sesji po zalogowaniu, słabego stanu OAuth, braku wymogu HTTPS oraz podatności na wstrzykiwanie do logów.

CVE-2026-56424
Wysokie

Rdzeń MISP zawiera wiele błędów w kontroli dostępu, które pozwalają na nieautoryzowane modyfikacje i usunięcia danych między organizacjami. Użytkownicy z niższymi uprawnieniami mogą manipulować obiektami, do których nie mają prawa edytować.

CVE-2026-56423
Wysokie

MISP Core zawierał błędne kontrole dostępu w procesach masowego usuwania raportów zdarzeń i grup udostępniania. Użytkownicy z szerokimi uprawnieniami mogli usuwać obiekty należące do innych organizacji bez odpowiedniej autoryzacji.

CVE-2026-54100
Wysokie

Operator Windows Machine Config (WMCO) dla Red Hat OpenShift nawiązuje połączenia SSH z węzłami Windows bez weryfikacji klucza hosta zdalnego serwera. Atakujący w sąsiedniej sieci może przechwycić lub przekierować sesję SSH i zdobyć dane uwierzytelniające WICD oraz kubelet.

CVE-2026-54099
Wysokie

W operatorze Windows Machine Config Operator (WMCO) dla Red Hat OpenShift Container Platform wykryto lukę w mechanizmie automatycznego zatwierdzania żądań podpisania certyfikatu (CSR). Mechanizm ten sprawdza, czy CSR zawiera organizację system:wicd-nodes, ale nie odrzuca dodatkowych wartości organizacji, takich jak system:masters. Pozwala to skompromitowanemu węzłowi Windows z danymi uwierzytelniającymi WICD na uzyskanie certyfikatu klienta z uprawnieniami administratora klastra.

CVE-2026-42129
Wysokie

Podatność w wtyczce źródła danych Loki umożliwia użytkownikowi z uprawnieniami przeglądania (Viewer) wykorzystanie przejścia ścieżki (path traversal) do uzyskania dostępu do administracyjnych punktów końcowych Loki. Pozwala to na odczyt wrażliwej konfiguracji backendu oraz wewnętrznych informacji o usługach.

CVE-2026-12602
Wysokie

W ArubaSign, w wersjach przed v4.6.6, występują nieprawidłowe domyślne uprawnienia, które przyznają nadmierne uprawnienia grupie 'Everyone' dla głównego pliku wykonywalnego oraz innych plików programu. To może umożliwić nieuprzywilejowanemu użytkownikowi zastąpienie głównego pliku wykonywalnego złośliwym plikiem.

CVE-2025-66389
WysokieEPSS 54%

Podatność w GitHub Copilot 1.372.0 umożliwia dostęp do systemu plików poza folderem roboczym bez zgody użytkownika poprzez parametr URI w funkcji fetch_webpage. Może to prowadzić do wycieku danych w przypadku pośredniego wstrzyknięcia promptu.

CVE-2026-12581
Wysokie

EasyFlow .NET opracowany przez Digiwin ma podatność na atak typu Session Fixation. Nieautoryzowani zdalni atakujący mogą zastąpić określony identyfikator sesji użytkownika, co pozwala im uzyskać uprawnienia użytkownika po jego zalogowaniu.

CVE-2025-4994
Wysokie

Urządzenia SafeLine SL6 i SL6+ wbudowane w systemy interkomów awaryjnych wind są podatne na obejście uwierzytelniania. Luka umożliwia atakującym ominięcie wymogów uwierzytelniania i dostęp do usługi konfiguracyjnej urządzenia przez interfejs Bluetooth Low Energy (BLE).

CVE-2023-45796
Wysokie

W komponentach Runtime Pilz PASvisu przed wersją 1.14.1 oraz PMI v8xx do wersji 2.0.33992 występuje podatność na przechowywane ataki typu cross-site scripting. Umożliwia to atakującemu o niskich uprawnieniach zdalne manipulowanie danymi procesowymi, co może wpłynąć na integralność i/lub dostępność systemu.

CVE-2023-45795
Wysokie

W komponentach Builder systemu Pilz PASvisu przed wersją 1.14.1 występuje podatność na atak typu cross-site scripting, która pozwala lokalnemu, nieautoryzowanemu atakującemu na wstrzyknięcie złośliwego kodu JavaScript i uzyskanie pełnej kontroli nad urządzeniem.

CVE-2026-44914
Wysokie

Apache NiFi w wersjach od 1.12.0 do 2.9.0 nie sprawdza autoryzacji przy wymianie grup procesów, które zawierają komponenty z oznaczeniem Restricted. Brak tej autoryzacji pozwala użytkownikom z ogólnym dostępem do zapisu na dodawanie komponentów z ograniczonym dostępem.

CVE-2026-44913
Wysokie

Nieprawidłowe ucieczki nazw tabel w bazie danych w procesorze CaptureChangeMySQL w Apache NiFi w wersjach od 1.2.0 do 2.9.0 umożliwiają wstrzykiwanie poleceń SQL przy użyciu spreparowanych nazw. Wersja 1.8.0 wprowadziła ręczne granice cytatów, które ograniczyły możliwości wstrzykiwania, ale nie objęły dodatkowych strategii.

CVE-2025-66336
Wysokie

Serwer Apache Doris MCP zawiera podatność na wstrzykiwanie SQL w ścieżce zapytań metadanych. Nazwa bazy danych kontrolowana przez użytkownika jest bezpośrednio interpolowana do zapytania SQL, a zapytanie jest wykonywane bez kontekstu autoryzacji wywołującego. Może to pozwolić uwierzytelnionemu atakującemu lub anonimowemu atakującemu (jeśli uwierzytelnianie jest wyłączone) na ominięcie walidacji bezpieczeństwa SQL i dostęp do metadanych poza zakresem docelowej bazy danych.

CVE-2026-8157
Wysokie

Wtyczka Vitepos dla WordPressa w wersjach przed 3.4.2 nie ogranicza poprawnie ról, które mogą być przypisywane podczas tworzenia nowych użytkowników za pomocą jednego z punktów końcowych REST API. Umożliwia to uwierzytelnionym użytkownikom z niestandardową rolą wtyczki Vitepos podniesienie uprawnień do administratora.

CVE-2026-6858
Wysokie

Wtyczka Transbank Webpay dla WordPressa w wersjach przed 1.14.0 nie sanitizuje i nie ucieka logów do wyświetlenia, co pozwala nieautoryzowanym użytkownikom na przeprowadzenie ataków typu Stored XSS przeciwko zalogowanym administratorom.

CVE-2026-4259
Wysokie

Wtyczka ultimate-woocommerce-auction-pro dla WordPressa w wersji do 2.4.5 nie sanitizuje i nie ucieka parametru przed jego wyświetleniem na stronie, co prowadzi do podatności na odzwierciedlone ataki Cross-Site Scripting (XSS). Atak ten może być wykorzystany przeciwko użytkownikom o wysokich uprawnieniach, takim jak administratorzy.

CVE-2026-6645
Wysokie

W komponentach PaperCut Print Deploy Client dla systemu Windows występuje podatność na niebezpieczne wykonywanie procesów. Aplikacja, działająca z wysokimi uprawnieniami systemowymi, nieprawidłowo wykonuje wewnętrzną kontrolę walidacyjną, wywołując zewnętrzny program bez określonej ścieżki.

PoprzedniaStrona 94 z 3355Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS