Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-22336
Krytyczne

W podatności CVE-2026-22336 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w aplikacji Directorist Booking. Problem dotyczy wersji Directorist Booking przed 3.0.2.

CVE-2026-41409
Krytyczne

Poprawka dla CVE-2024-52046 w Apache MINA AbstractIoBuffer.getObject() była niekompletna. Lista dozwolonych klas do deserializacji została zastosowana zbyt późno, co mogło prowadzić do wykonania statycznego inicjalizatora w klasie przed jej zastosowaniem.

CVE-2026-33454
Krytyczne

Komponent Camel-Mail w Apache Camel nie filtruje nagłówków MIME w kierunku przychodzącym, co pozwala atakującemu na wstrzyknięcie nagłówków Camel poprzez wysłanie spreparowanej wiadomości e-mail. Podatność dotyczy wersji od 3.0.0 do 4.14.6 oraz od 4.15.0 do 4.18.1.

CVE-2026-41635
Krytyczne

W metodzie AbstractIoBuffer.resolveClass() w Apache MINA występuje luka, która pozwala na pominięcie listy dozwolonych nazw klas dla statycznych klas lub typów prymitywnych, co umożliwia wykonanie dowolnego kodu. Problem został rozwiązany w wersjach Apache MINA 2.0.28, 2.1.11 i 2.2.6 poprzez wcześniejsze zastosowanie listy dozwolonych nazw klas.

CVE-2026-40860
KrytyczneEPSS 55%

Podatność w Apache Camel umożliwia zdalne wykonanie kodu poprzez deserializację niezaufanych danych z JMS ObjectMessage. Funkcja JmsBinding.extractBodyFromJms() nie stosuje filtrów deserializacji, co pozwala atakującemu na opublikowanie spreparowanej wiadomości do kolejki lub tematu konsumowanego przez aplikację Camel.

CVE-2026-40453
KrytyczneEPSS 54%

Poprawka dla CVE-2025-27636 dodała setLowerCase(true) do HttpHeaderFilterStrategy, ale nie została zastosowana do pięciu innych implementacji HeaderFilterStrategy (JMS, ClassicJMS, SJMS, CoAP, Google Pubsub). Przez to atakujący z dostępem do brokera JMS może wstrzyknąć nagłówki Camel o zmienionej wielkości liter, które są następnie interpretowane przez komponenty takie jak camel-exec i camel-file, co umożliwia zdalne wykonanie kodu i zapis dowolnych plików.

CVE-2026-42363
Krytyczne

W funkcjonalności uwierzytelniania urządzeń w GeoVision GV-IP Device Utility 9.0.5 występuje luka związana z niewystarczającym szyfrowaniem. Podsłuchiwanie pakietów broadcastowych może prowadzić do wycieku danych uwierzytelniających.

CVE-2026-7037
Krytyczne

W urządzeniu Totolink A8000RU w wersji 7.1cu.643_b20200521 odkryto lukę bezpieczeństwa. Problem dotyczy funkcji setVpnPassCfg w pliku /cgi-bin/cstecgi.cgi, gdzie manipulacja argumentem pptpPassThru prowadzi do zdalnej iniekcji poleceń systemowych.

CVE-2026-31685
Krytyczne

W jądrze systemu Linux zidentyfikowano podatność w module netfilter, która pozwala na akceptację pakietów z nieprawidłowym nagłówkiem MAC. Funkcja `eui64_mt6()` porównuje zmodyfikowany EUI-64 z adresem źródłowym IPv6, co może prowadzić do nieautoryzowanego dostępu.

CVE-2026-6951
KrytyczneEPSS 54%

Podatność w bibliotece simple-git przed wersją 3.36.0 umożliwia zdalne wykonanie kodu (RCE) z powodu niekompletnej łatki dla CVE-2022-25912. Łatka blokowała opcję -c, ale nie równoważną formę --config, co pozwala atakującemu na wykorzystanie protokołu ext:: do wykonania kodu.

CVE-2026-41478
Krytyczne

Saltcorn to rozbudowany, otwarty system do budowy aplikacji bazodanowych bez kodu. Przed wersjami 1.4.6, 1.5.6 i 1.6.0-beta.5 występowała podatność na wstrzykiwanie SQL w trasach synchronizacji mobilnej, która pozwalała uwierzytelnionym użytkownikom o niskich uprawnieniach na wstrzykiwanie dowolnego SQL przez parametry synchronizacji.

CVE-2026-41473
Krytyczne

Wersje CyberPanel przed 2.4.4 zawierają podatność na obejście uwierzytelniania w punktach końcowych API AI Scanner worker, co pozwala nieautoryzowanym atakującym na zapis dowolnych danych do bazy danych. Atakujący mogą wykorzystać brak kontroli uwierzytelniania do wywołania odmowy usługi poprzez wyczerpanie pamięci, uszkodzenie rekordów historii skanowania oraz zanieczyszczenie pól bazy danych złośliwymi danymi.

CVE-2026-41248
Krytyczne

Clerk JavaScript to oficjalne repozytorium JavaScript dla uwierzytelniania Clerk. Funkcja createRouteMatcher w @clerk/nextjs, @clerk/nuxt i @clerk/astro może być obejściem przez odpowiednio skonstruowane żądania, co pozwala na pominięcie middleware i dotarcie do dalszych handlerów.

CVE-2026-41475
Krytyczne

W bibliotece BACnet Stack przed wersją 1.4.3 występuje podatność na odczyt poza granicami bufora w dekoderze usługi WritePropertyMultiple. Atakujący zdalnie, bez uwierzytelnienia, mogą odczytać dane poza przydzielonymi granicami bufora, wysyłając skrócone żądanie WPM.

CVE-2026-41428
Krytyczne

Budibase to platforma open-source low-code. W wersjach przed 3.35.4, middleware uwierzytelniający używał nieprzypisanych wyrażeń regularnych do dopasowywania wzorców publicznych punktów końcowych do ctx.request.url, co pozwalało atakującym na dostęp do chronionych punktów końcowych.

CVE-2026-41492
Krytyczne

Dgraph to otwartoźródłowa rozproszona baza danych GraphQL. W wersjach przed 25.3.3, Dgraph ujawnia linię poleceń procesu przez nieautoryzowany punkt końcowy /debug/vars na Alpha, co pozwala atakującemu na uzyskanie tokena administracyjnego.

CVE-2026-41415
Krytyczne

PJSIP to darmowa i otwarta biblioteka komunikacji multimedialnej napisana w C. W wersjach 2.16 i wcześniejszych występuje błąd odczytu poza granicami, gdy analizowany jest źle sformatowany URI Content-ID w ciele wiadomości SIP multipart. Niewystarczająca walidacja długości może prowadzić do odczytów poza zamierzonymi granicami bufora.

CVE-2026-41328
Krytyczne

Dgraph to otwartoźródłowa rozproszona baza danych GraphQL. Przed wersją 25.3.3 odkryto podatność, która umożliwia nieautoryzowanemu atakującemu pełny dostęp do wszystkich danych w bazie danych, gdy domyślna konfiguracja Dgraph nie ma włączonego ACL.

CVE-2026-41327
Krytyczne

W Dgraph, otwartoźródłowej rozproszonej bazie danych GraphQL, przed wersją 25.3.3 odkryto podatność, która umożliwia nieautoryzowanemu atakującemu pełny dostęp do wszystkich danych w bazie. Problem występuje w domyślnej konfiguracji Dgraph, gdzie ACL nie jest włączone.

CVE-2026-41898
Krytyczne

Podatność w rust-openssl występuje w wersjach od 0.9.24 do przed 0.10.78, gdzie trampoliny FFI w metodach SslContextBuilder mogą przekazywać wartość usize zwróconą przez użytkownika bez odpowiedniej weryfikacji. Może to prowadzić do przepełnienia bufora i innych niezamierzonych konsekwencji.

PoprzedniaStrona 97 z 560Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS