Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.13)

CVE-2026-8918
Wysokie

W ASUS Armoury Crate występuje podatność związana z zbyt liberalną listą dozwolonych wejść, co pozwala lokalnemu administratorowi na wykonywanie dowolnych operacji odczytu/zapisu pamięci lub spowodowanie awarii systemu (BSOD) poprzez ominięcie mechanizmu walidacji.

CVE-2026-11745
Wysokie

Zidentyfikowano podatność w centraldogma-server-mirror-git w wersjach przed 0.84.0, gdzie klient SSH do mirroringu Git nie weryfikuje kluczy zdalnych hostów dla połączeń git+ssh://. To umożliwia atakującemu na ścieżce przeprowadzenie ataków typu man-in-the-middle oraz kompromitację zmirrorowanych repozytoriów.

CVE-2026-12806
Wysokie

Wykryto podatność w Edimax BR-6478AC V2 1.23, która dotyczy funkcji formWlSiteSurvey w pliku /goform/formWlSiteSurvey. Manipulacja argumentem selSSID prowadzi do przepełnienia bufora, co umożliwia zdalne przeprowadzenie ataku.

CVE-2026-56396
Wysokie

phpMyFAQ w wersjach przed 4.1.4 zawiera luki w autoryzacji w punktach końcowych editUser() i updateUserRights(), które pozwalają uwierzytelnionym administratorom na eskalację uprawnień. Użytkownicy, którzy nie są SuperAdminami, ale mają uprawnienia edit_user, mogą ustawić flagę is_superadmin lub przyznać dowolne uprawnienia, co prowadzi do uzyskania dostępu SuperAdmina.

CVE-2026-56382
Wysokie

Craft CMS w wersjach od 5.5.0 do 5.9.13 zawiera podatność na zdalne wykonanie kodu w metodzie FieldsController::actionRenderCardPreview(). Umożliwia to uwierzytelnionemu użytkownikowi adminowi wstrzyknięcie handlerów zdarzeń Yii2, co prowadzi do wykonania dowolnego kodu PHP i ujawnienia wrażliwych informacji.

CVE-2026-56253
Wysokie

Capgo w wersjach przed 12.128.2 zawiera lukę w kontroli dostępu w funkcji public.get_org_members RPC, która pozwala nieautoryzowanym atakującym na enumerację członków organizacji. Atakujący mogą wykorzystać klucz publiczny sb_publishable_* oraz UUID organizacji do uzyskania wrażliwych informacji o członkach, w tym adresów e-mail, identyfikatorów użytkowników, ról oraz oczekujących zaproszeń.

CVE-2026-56242
Wysokie

Capgo w wersjach przed 12.128.2 zawiera nieautoryzowaną funkcję RPC get_identity_apikey_only, która zwraca identyfikator użytkownika dla podanych kluczy API. To stwarza możliwość potwierdzenia ważności kluczy API oraz ujawnienia tożsamości użytkowników.

CVE-2026-56239
Wysokie

Capgo przed wersją 12.128.2 zawiera potencjalną podatność na eskalację uprawnień w funkcji public.apply_usage_overage SECURITY DEFINER, która wykonuje wrażliwe operacje billingowe bez wymuszania wewnętrznych kontroli autoryzacji. Funkcja ta działa z uprawnieniami właściciela, co omija zabezpieczenia na poziomie wiersza.

CVE-2025-71378
Wysokie

Podatność w narzędziu picklescan przed wersją 0.0.30 polega na braku wykrywania wywołań funkcji cProfile.runctx w metodach reduce plików pickle. Umożliwia to atakującym ominięcie skanowania i wykonanie dowolnego kodu podczas ładowania złośliwego pliku pickle przez pickle.load().

CVE-2025-71357
Wysokie

Podatność w narzędziu picklescan przed wersją 0.0.30 pozwala na ominięcie detekcji złośliwych plików pickle. Atakujący mogą wykorzystać metodę idlelib.pyshell.ModifiedInterpreter.runcommand w funkcjach reduce, aby ukryć kod wykonujący zdalne polecenia podczas wczytywania pliku przez ofiarę.

CVE-2025-71351
Wysokie

Picklescan w wersjach przed 0.0.25 nie wykrywa złośliwych plików pickle, które wykorzystują timeit.timeit() w metodzie __reduce__, co umożliwia zdalne wykonanie kodu. Atakujący mogą stworzyć pliki pickle, które importują niebezpieczne biblioteki, takie jak os, i wykonują dowolne polecenia systemowe.

CVE-2025-71348
Wysokie

Podatność w narzędziu picklescan przed wersją 0.0.28 polega na braku wykrywania złośliwych plików pickle, które wykorzystują funkcję torch.utils._config_module.load_config w metodach reduce. Atakujący mogą stworzyć pliki pickle zawierające dowolny kod, który omija detekcję, ale wykonuje się podczas pickle.load, umożliwiając zdalne wykonanie kodu w atakach na łańcuch dostaw.

CVE-2026-12795
Wysokie

Wykryto podatność w BerriAI litellm do wersji 1.82.2, która dotyczy funkcji json.dumps w pliku litellm/proxy/management_endpoints/ui_sso.py komponentu SSO Debug Flow. Manipulacja tą funkcją może prowadzić do braku autoryzacji.

CVE-2026-12786
Wysokie

Wykryto podatność w Ezbsystems UltraISO Premium Edition do wersji 9.76, dotycząca nieznanej funkcjonalności w bibliotece bootpt64.sys komponentu Kernel Driver. Manipulacja prowadzi do niewłaściwych kontroli dostępu.

CVE-2026-52911
Wysokie

W jądrze Linuxa w systemie plików ksmbd wykryto podatność polegającą na tym, że flaga conn->binding pozostawała ustawiona po zakończeniu SESSION_SETUP, co umożliwiało wyszukiwanie globalne sesji dla połączeń, które nie były z nimi powiązane. Poprawka zawęża globalne wyszukiwanie tak, aby zwracana sesja musiała mieć zarejestrowane połączenie w swoim kanale xarray.

CVE-2026-12784
Wysokie

Zidentyfikowano słabość w IM-Magic Partition Resizer do wersji 7.9.0, która dotyczy nieznanej funkcji w bibliotece MDA_NTDRV.sys komponentu Kernel Driver. Manipulacja ta prowadzi do niewłaściwych kontroli dostępu.

CVE-2026-12782
Wysokie

Wykryto lukę bezpieczeństwa w EaseUS Partition Master do wersji 14.5, dotyczącą nieznanej funkcji w bibliotece EUEDKEPM.sys komponentu Kernel Driver. Manipulacja tą luką prowadzi do niewłaściwych kontroli dostępu.

CVE-2026-12781
Wysokie

Zidentyfikowano podatność w EaseUS Partition Master do wersji 14.5, dotycząca nieznanej funkcji w bibliotece epmntdrv.sys komponentu Kernel Driver. Manipulacja prowadzi do niewłaściwych kontroli dostępu.

CVE-2026-12780
Wysokie

Wykryto podatność w AOMEI Backupper do wersji 8.3.0, dotycząca nieznanej funkcji w bibliotece amwrtdrv.sys komponentu Kernel Driver. Wykonanie manipulacji może prowadzić do niewłaściwych kontroli dostępu.

CVE-2026-12779
Wysokie

Wykryto podatność w AOMEI Dynamic Disk Manager do wersji 10.10.1, która dotyczy nieznanego przetwarzania w bibliotece ddmdrv.sys komponentu Kernel Driver. Manipulacja tym elementem prowadzi do niewłaściwych kontroli dostępu.

PoprzedniaStrona 95 z 3355Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS