Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-56213
Średnie

Capgo w wersjach przed 12.128.2 zawiera lukę w autoryzacji w funkcji public.upsert_version_meta, która jest udostępniana przez PostgREST RPC. Umożliwia to nieautoryzowanym atakującym wstawianie dowolnych wierszy do version_meta dla dowolnego app_id.

CVE-2026-56080
Średnie

Capgo w wersjach przed 12.128.2 zawiera błąd w funkcji egzekwowania polityki haseł. Po tym, jak Super Admin włączy politykę i pomyślnie zmieni swoje hasło na zgodne, backend nie aktualizuje stanu zgodności hasła, co prowadzi do ciągłych żądań resetowania hasła.

CVE-2026-56079
Średnie

Capgo przed wersją 12.128.2 zawiera lukę w autoryzacji między najemcami w punktach końcowych PostgREST, która pozwala na dostęp do sekretów webhooków i dzienników dostaw innych najemców za pomocą kluczy API o zakresie organizacji.

CVE-2026-50519
Średnie

Podatność w GitHub Copilot i Visual Studio Code wynika z inicjalizacji zasobu z niebezpiecznym domyślnym ustawieniem, co umożliwia nieautoryzowanemu atakującemu ujawnienie informacji przez sieć.

CVE-2026-49337
Średnie

libde265 to otwartoźródłowa implementacja kodeka wideo h.265. Przed wersją 1.0.20, stworzona sekwencja jednostek NAL H.265 powoduje, że `decoder_context::read_slice_NAL()` dołącza nagłówki slice do obiektu obrazu, który nie ma aktywnej jednostki obrazu, co prowadzi do nieograniczonego wzrostu pamięci na stercie kontrolowanego przez atakującego.

CVE-2026-48129
Średnie

Kestra to platforma orkiestracji oparta na zdarzeniach, która przed wersjami 1.3.19, 1.2.19, 1.1.19 i 1.0.43 miała problem z zadaniem `inputFiles`. Umożliwiało to zapisanie nazw plików bezpośrednio w katalogu roboczym zadania, co mogło prowadzić do nadpisania plików poza tym katalogiem.

CVE-2026-42895
Średnie

Podatność w Microsoft Copilot umożliwia nieautoryzowanemu atakującemu wykonanie wstrzyknięcia poleceń przez sieć. Problem wynika z nieprawidłowej neutralizacji specjalnych elementów w poleceniach.

CVE-2026-49345
Średnie

W aplikacji Mercator przed wersją 2025.05.19 występuje podatność typu Server-Side Request Forgery (SSRF) w panelu konfiguracyjnym CVE. Metoda `testProvider()` w `ConfigurationController` nie waliduje danych wejściowych użytkownika, co pozwala na wymuszanie dowolnych żądań sieciowych przez uwierzytelnionego użytkownika z odpowiednimi uprawnieniami.

CVE-2026-49342
Średnie

YARD to narzędzie do generowania dokumentacji dla języka Ruby. W wersjach przed 0.9.44, statyczne wyszukiwanie w pamięci podręcznej YARD odczytuje ścieżkę żądania przed oczyszczeniem ścieżki przez router, co może prowadzić do ujawnienia plików HTML poza zamierzonym drzewem statycznym.

CVE-2026-49336
Średnie

W wersjach 1.0.0-preview.97 do 1.0.0-preview.101 biblioteka @microsoft/kiota-http-fetchlibrary niepoprawnie obsługuje nagłówki `Authorization` i `Cookie` w przypadku przekierowań między źródłami. Domyślna funkcja `scrubSensitiveHeaders` nie usuwa tych nagłówków, co pozwala na ich przekazywanie do złośliwych hostów.

CVE-2026-49288
Średnie

Statamic to system zarządzania treścią oparty na Laravel i Git. W wersjach przed 5.73.23 i 6.20.0, uwierzytelniony użytkownik Panelu Sterowania mógł przeglądać metadane i treści zasobów, do których nie miał uprawnień, co mogło prowadzić do ujawnienia wrażliwych informacji.

CVE-2026-27878
Średnie

Podatność w Grafana Tempo pozwala uwierzytelnionemu użytkownikowi na wykonanie zapytania TraceQL z dużą wartością wskazówki exemplars, co prowadzi do nadmiernego przydziału pamięci i awarii instancji Tempo z powodu braku pamięci.

CVE-2026-12726
Średnie

W AWX zidentyfikowano lukę w integracji webhooków GitHub. Kontroler przechowuje wartość statuses_url z ładunku webhooka bez weryfikacji, czy wskazuje na zaufany punkt końcowy API GitHub.

CVE-2026-12238
Średnie

Wtyczka WP Go Maps – Most Popular Map Plugin dla WordPressa jest podatna na obejście autoryzacji we wszystkich wersjach do i włącznie z 10.1.01. Problem wynika z niewłaściwej weryfikacji uprawnień użytkownika, co pozwala nieautoryzowanym atakującym na tworzenie dowolnych rekordów w tabelach bazy danych wtyczki.

CVE-2026-49359
Średnie

PhpWeasyPrint to biblioteka PHP umożliwiająca generowanie PDF z URL lub strony HTML. W wersjach przed 2.6.0, biblioteka ta pobierała zawartość wartości opcji po stronie serwera, co prowadziło do możliwości ataku typu Server-Side Request Forgery oraz ujawnienia lokalnych plików.

CVE-2026-49271
Średnie

Przed wersją 1.22.1 biblioteki libheif, dekoder nieskompresowanego formatu HEIF nieprawidłowo sprawdzał zakresy przesunięć skompresowanych jednostek. Dodanie wartości unit_offset i unit_size może spowodować przepełnienie liczb całkowitych, co pozwala na ominięcie walidacji i odczyt poza dozwolonym buforem, prowadząc do awarii.

CVE-2019-25760
Średnie

Komponent Joomla! Easy Shop w wersji 1.2.3 zawiera podatność na lokalne włączenie pliku, która pozwala nieautoryzowanym atakującym na odczyt dowolnych plików poprzez podanie ścieżek plików zakodowanych w base64. Atakujący mogą wysyłać żądania GET do index.php z odpowiednimi parametrami, aby uzyskać dostęp do wrażliwych plików.

CVE-2026-3196
Średnie

Wykryto podatność na przepełnienie całkowitej liczby w urządzeniu virtio-snd, która występuje w wyniku żądań PCM_INFO od gościa. Złośliwy gość może dostarczyć liczbę strumieni poza dozwolonym zakresem, co może prowadzić do nieograniczonego przydziału pamięci na hoście oraz stanu odmowy usługi.

CVE-2026-12622
Średnie

Serwer czasu GNSS GridTime 3000 zawiera podatność na otwarte przekierowanie w formularzu zmiany hasła. Atakujący może wykorzystać tę lukę do przekierowania użytkownika na złośliwą stronę po zmianie hasła.

CVE-2026-12621
Średnie

W GridTime 3000 wykryto podatność na atak XSS w formularzu resetowania hasła, wynikającą z nieprawidłowej neutralizacji danych wejściowych podczas generowania strony. Problem dotyczy wersji od 1.0r0.03 do 1.2r0.0.

PoprzedniaStrona 97 z 553Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS