Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-56346
Średnie

Podatność w AVideo do wersji 25.0 umożliwia nieuwierzytelnionym atakującym ominięcie mechanizmu uwierzytelniania w endpointcie decryptMessage.json.php. Pozwala to na zdalne odszyfrowywanie wiadomości PGP bez podawania poświadczeń, co naraża klucze prywatne na zapis w logach i umożliwia ataki typu wyczerpanie zasobów.

CVE-2026-56342
Średnie

AVideo w wersji do 27.0 zawiera podatność typu server-side request forgery w pliku plugin/Live/test.php, która pozwala uwierzytelnionym administratorom na odczyt dowolnych adresów URL za pomocą parametru statsURL. Brak walidacji isSSRFSafeURL() umożliwia wysyłanie żądań do prywatnych zakresów IP oraz punktów końcowych metadanych w chmurze.

CVE-2025-71379
Średnie

Podatność ReDoS w vLLM w wersjach od 0.6.3 do 0.9.0. Wzorce wyrażeń regularnych w kilku komponentach (vllm/lora/utils.py, parser phi4mini, endpoint czatu OpenAI) są podatne na katastrofalne cofanie, co pozwala atakującemu na przeciążenie CPU i degradację wydajności.

CVE-2026-56332
Średnie

Capgo w wersjach przed 12.128.2 zawiera podatność na otwarte przekierowanie w punkcie końcowym confirm-signup, co pozwala atakującym na przekierowywanie użytkowników do dowolnych zewnętrznych stron internetowych. Parametr confirmation_url nie jest walidowany, co umożliwia tworzenie złośliwych linków do ataków phishingowych i zbierania danych uwierzytelniających.

CVE-2026-56319
Średnie

Capgo w wersjach przed 12.128.2 zawiera podatność na ujawnienie informacji w punkcie końcowym GET /statistics/app/:app_id, która pozwala na rozróżnienie istniejących identyfikatorów aplikacji przez klucze API o ograniczonym dostępie. Atakujący mogą enumerować rzeczywiste identyfikatory aplikacji, obserwując różnice w odpowiedziach błędów.

CVE-2026-56317
Średnie

Nuxt przed wersją 4.4.7 (oraz gałąź 3.x przed 3.21.7) zawiera podatność na ataki typu cross-site scripting w komponencie NoScript, który zapisuje zawartość slotów do innerHTML bez odpowiedniego zabezpieczenia. Atakujący mogą wstrzykiwać złośliwe skrypty poprzez niezaufane dane w slotach NoScript, takie jak parametry route.query.

CVE-2026-56307
Średnie

Cap-go przed wersją 12.128.12 zawiera podatność na uszkodzoną paginację kursorów w punkcie końcowym /private/devices, co pozwala uwierzytelnionym atakującym na wywołanie pętli zduplikowanych stron i uniemożliwienie dostępu do późniejszych wierszy.

CVE-2026-56304
Średnie

Picklescan przed wersją 1.0.1 zawiera podatność na niebezpieczną deserializację pickle, która pozwala nieautoryzowanym atakującym na tworzenie dowolnych plików o zerowej wielkości poprzez instancjonowanie klasy logging.FileHandler. Atakujący mogą wykorzystać tę lukę, tworząc złośliwe ładunki pickle, aby obejść blokady RCE i tworzyć pliki blokad lub inne artefakty systemu plików.

CVE-2026-56295
Średnie

Capgo w wersjach przed 12.128.2 zawiera lukę w autoryzacji w punktach końcowych zarządzania webhookami, która pozwala na ominięcie polityki wymogu wygasania kluczy API. Funkcja checkWebhookPermission nie wywołuje apikeyHasOrgRightWithPolicy, co umożliwia atakującym z przestarzałymi kluczami nie wygasającymi na listowanie, tworzenie i usuwanie webhooków.

CVE-2026-56294
Średnie

Wersje capacitor-native-biometric przed 12.128.2 zawierają podatność na obejście uwierzytelnienia, w której metoda onAuthenticationSucceeded() nie weryfikuje parametrów CryptoObject. Atakujący mogą wykorzystać dynamiczną instrumentację, aby obejść uwierzytelnienie biometryczne bez ważnych poświadczeń.

CVE-2026-56282
Średnie

Capgo w wersjach przed 12.128.2 zawiera podatność na ujawnienie informacji w nieautoryzowanym punkcie końcowym /replication, który ujawnia wewnętrzną telemetrię replikacji PostgreSQL, w tym nazwy slotów i pozycje WAL LSN. Atakujący mogą uzyskać dostęp do tego punktu końcowego bez uwierzytelnienia, aby pozyskać wrażliwe szczegóły infrastruktury.

CVE-2026-56276
Średnie

Flowise w wersjach przed 3.1.2 zawiera podatność na masowe przypisanie w punkcie końcowym PUT /api/v1/user, co pozwala uwierzytelnionym użytkownikom na bezpośrednią modyfikację pola poświadczeń bez walidacji. Atakujący mogą obejść weryfikację zmiany hasła oraz unieważnienie sesji, dostarczając spreparowany skrót hasła, co umożliwia trwały dostęp do konta po tymczasowym naruszeniu sesji.

CVE-2026-56267
Średnie

Flowise w wersjach przed 3.0.13 zawiera podatność na ujawnienie informacji w punkcie końcowym POST /api/v1/account/forgot-password, który zwraca pełne obiekty użytkowników, w tym dane osobowe, nieautoryzowanym atakującym. Atakujący może enumerować ważne adresy e-mail i zbierać wrażliwe dane użytkowników, wysyłając żądania z znanymi adresami e-mail.

CVE-2026-56235
Średnie

Cap-go w wersjach przed 12.128.2 zawiera lukę w autoryzacji w kilku funkcjach RPC Supabase PostgREST, które są dostępne dla roli anon bez wymuszania członkostwa w organizacji lub sprawdzania uprawnień. Atakujący może wykorzystać publiczny klucz API Supabase do zapytań o wartości org_id, co pozwala na ujawnienie telemetrii użycia między najemcami.

CVE-2026-56228
Średnie

Capgo przed wersją 12.128.2 nie egzekwuje maksymalnej wartości dla minimalnej długości hasła w konfiguracji polityki haseł. Administratorzy organizacji mogą ustawić ekstremalnie dużą wartość jako minimalną długość hasła, co uniemożliwia spełnienie wymagań dla wszystkich członków organizacji.

CVE-2026-56227
Średnie

Capgo w wersjach przed 12.128.2 zawiera podatność typu server-side request forgery w walidacji URL webhooków, co pozwala na wykorzystanie adresów loopback i wewnętrznych. Administratorzy organizacji mogą konfigurować webhooki wskazujące na localhost lub 127.0.0.1, co prowadzi do wykonywania żądań wychodzących do tych adresów.

CVE-2026-56218
Średnie

Capgo w wersjach przed 12.128.2 nie usuwa metadanych EXIF, w tym danych geolokalizacyjnych GPS z przesyłanych obrazów, co prowadzi do ujawnienia informacji. Atakujący mogą pobrać przesłane obrazy i wydobyć dokładne współrzędne geograficzne, ujawniając fizyczną lokalizację użytkownika w momencie wykonania zdjęcia.

CVE-2025-71331
Średnie

Flowise w wersjach przed 3.0.8 zawiera podatność typu cross-site scripting (XSS) spowodowaną niewystarczającym filtrowaniem danych wejściowych w wiadomościach czatu oraz funkcjach agentów niestandardowych. Atakujący może wstrzyknąć złośliwy kod JavaScript, co prowadzi do kradzieży ciasteczek i danych sesji.

CVE-2026-12673
Średnie

Wersje Liquidfiles przed 4.2.12 są podatne na lukę w kontroli dostępu, która umożliwia eskalację uprawnień z poziomu Administratora w drugorzędnej domenie do poziomu Sysadmina poprzez modyfikację grupy w ich zarządzanej drugorzędnej grupie.

CVE-2026-12119
Średnie

Wtyczka Simple File List dla WordPressa jest podatna na nieautoryzowane operacje plikowe z powodu braku sprawdzenia autoryzacji w atrybucie shortcode 'frontmanage' we wszystkich wersjach do 6.3.7 włącznie. Umożliwia to uwierzytelnionym atakującym, posiadającym dostęp na poziomie współtwórcy i wyżej, wykonywanie dowolnych operacji na plikach.

PoprzedniaStrona 96 z 553Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS