Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-57959
Średnie

Podatność w systemie Hi.Events do wersji 1.9.0 umożliwia wielokrotne wykorzystanie ograniczonych kodów promocyjnych. Mechanizm walidacji sprawdza licznik użycia przed asynchronicznym zadaniem aktualizującym stan, co pozwala na sekwencyjne rezerwowanie wielu zamówień z tym samym kodem, każde z licznikiem równym 0.

CVE-2026-57958
Średnie

Mixpost do wersji 2.6.0 zawiera odbitą podatność na skrypty między witrynami (XSS), która pozwala nieuwierzytelnionym atakującym na wykonanie dowolnego kodu JavaScript w przeglądarkach uwierzytelnionych użytkowników poprzez spreparowanie złośliwych adresów URL zwrotnych OAuth z niesanitowanymi parametrami błędu.

CVE-2026-57957
Średnie

Podatność w Papermark do wersji 0.22.0 wynika z błędnej konfiguracji CORS, która pozwala nieuwierzytelnionym atakującym na wykonywanie żądań międzyoriginowych z poświadczeniami. Atakujący wykorzystują endpoint uploadu oparty na TUS, który odzwierciedla dowolne Origin w nagłówku Access-Control-Allow-Origin z ustawionym Access-Control-Allow-Credentials na true.

CVE-2026-57956
Średnie

Podatność w SigNoz do wersji 0.130.1 umożliwia uwierzytelnionym użytkownikom dostęp do reguł alertów innych organizacji poprzez podanie docelowego UUID reguły. Mechanizm przechowywania reguł alertów nie filtruje według identyfikatora organizacji, co pozwala na ominięcie kontroli dostępu w środowisku wielodostępnym.

CVE-2026-57955
Wysokie

Podatność SQL injection w SigNoz do wersji 0.130.1 umożliwia uwierzytelnionym atakującym wykonanie dowolnych zapytań ClickHouse poprzez wstrzyknięcie zakodowanych w URL cudzysłowów do parametru identyfikatora reguły w endpointach historii alertów. Atakujący mogą odczytać wszystkie przechowywane trace'e, logi i metryki lub wykorzystać funkcję url() do fałszowania żądań po stronie serwera (SSRF).

CVE-2026-57954
Średnie

Podatność w bibliotece Elide do wersji 7.1.17 nie wymusza @ReadPermission na wyrażeniach sortowania dostarczanych przez klienta w metodzie SortingImpl.getValidSortingRules, co pozwala atakującym sortować kolekcje po zabronionych polach. Atakujący mogą wywnioskować ukryte wartości pól poprzez analizę kolejności wierszy, ujawniając względne uporządkowanie pól we wszystkich wierszach zarówno przez JSON:API, jak i GraphQL.

CVE-2026-57953
Średnie

Podatność w Mythic przed wersją 3.4.0.60 umożliwia uwierzytelnionym użytkownikom z rolą widza (spectator) ominięcie autoryzacji i wykonanie nieautoryzowanych operacji zapisu. Atakujący mogą wykorzystać punkt końcowy eventing_import_automatic_webhook, który jest błędnie skonfigurowany, do tworzenia i usuwania przepływów pracy automatyzacji.

CVE-2026-57952
Średnie

Mythic przed wersją 3.4.0.60 zawiera podatność na ominięcie autoryzacji w czterech punktach końcowych REST (c2profile_config_check_webhook, c2profile_redirect_rules_webhook, c2profile_get_ioc_webhook, c2profile_sample_message_webhook), które nie weryfikują własności ładunku. Operator w jednej operacji może wywołać te punkty końcowe ze znanym UUID ładunku z innej operacji, aby uzyskać dostęp do konfiguracji profilu C2 tej operacji, w tym kluczy szyfrowania i parametrów wywołania zwrotnego.

CVE-2026-57951
Średnie

Podatność w Mythic przed wersją 3.4.0.60 wynika z uszkodzonego filtra uprawnień Hasura na tabeli payload_build_step, który zawiera zawsze spełniony warunek _or, omijający kontrolę dostępu na poziomie operacji. Uwierzytelnieni operatorzy i widzowie mogą odczytywać dane z payload_build_step, w tym step_stdout, step_stderr, step_name i step_description, dla wszystkich operacji na serwerze.

CVE-2026-57950
Wysokie

Podatność w ruoyi-vue-pro do wersji 2026.05 (załatana w commicie 5d1fd70) wynika z błędnego egzekwowania przestrzeni nazw uprawnień w kontrolerze ErpSaleOrderController. Atakujący z uprawnieniami erp:sale-out mogą uzyskać nieautoryzowany dostęp do operacji na zamówieniach sprzedaży, wykonując nieuprawnione tworzenie, aktualizację, usuwanie i odczyt wrażliwych finansowo zamówień.

CVE-2026-57949
Średnie

Podatność w module CRM systemu ruoyi-vue-pro (do wersji 2026.05, załatana w commicie c779a47) polega na braku autoryzacji w punkcie końcowym GET /admin-api/crm/follow-up-record/get. Uwierzytelniony użytkownik może odczytać dowolny rekord follow-up, iterując sekwencyjne identyfikatory numeryczne.

CVE-2026-57948
Średnie

Podatność w Pinpoint do wersji 3.1.0 wynika z niebezpiecznego zarządzania sesją, gdzie ciasteczko pinpointJwt nie ma atrybutów HttpOnly i Secure. Umożliwia to atakującym odczytanie ciasteczka przez JavaScript (document.cookie) oraz przesyłanie go w postaci jawnego tekstu przez HTTP.

CVE-2026-57947
Wysokie

Podatność SSRF w Pinpoint do wersji 3.1.0 pozwala uwierzytelnionym użytkownikom rejestrować wewnętrzne adresy URL w punkcie końcowym webhooka z powodu braku ochrony przed fałszowaniem żądań po stronie serwera. Atakujący mogą wywołać naruszenie progów alarmowych, zmuszając serwer do wysyłania żądań POST do wewnętrznych hostów i punktów końcowych metadanych.

CVE-2026-57946
Niskie

Podatność w Invidious przed wersją 2.20260626.0 umożliwia nieuwierzytelnionym atakującym odczytanie zawartości prywatnych playlist poprzez endpoint RSS feed. Atakujący może podać identyfikator playlisty, aby uzyskać pełną listę filmów, adres e-mail właściciela oraz powiązane wpisy wideo bez żadnego uwierzytelnienia.

CVE-2026-57945
Średnie

Podatność w PhotoPrism przed wersją 260601-a7d098548 umożliwia uwierzytelnionym użytkownikom niebędącym administratorami modyfikację profili innych użytkowników. Brak walidacji identyfikatora sesji w punkcie końcowym PUT users API pozwala atakującym nadpisać dane profilu bez autoryzacji.

CVE-2026-57943
Średnie

Podatność w LibrePhotos przed wersją 1.0.0 w punkcie końcowym SetPhotosShared umożliwia uwierzytelnionym użytkownikom ominięcie walidacji własności i przyznanie sobie dostępu do prywatnych zdjęć innych użytkowników. Atakujący mogą manipulować relacjami shared_to bez odpowiednich kontroli właściciela, aby odczytać dowolne prywatne zdjęcia.

CVE-2026-57942
Średnie

LibreTranslate do wersji 1.9.7 zawiera podatność na fałszowanie adresów IP w funkcji get_remote_address(). Nieuwierzytelniony atakujący może wstrzyknąć dowolną wartość do nagłówka X-Forwarded-For, co pozwala na ominięcie ograniczeń IP i blokad.

CVE-2026-56783
Średnie

Podatność w Parseable przed wersją 2.9.2 ujawnia tokeny webhook i dane uwierzytelniające basic-auth w postaci jawnego tekstu w odpowiedziach API endpointów powiadomień. Wynika to z zakomentowania funkcji maskowania sekretów, co pozwala każdemu uwierzytelnionemu użytkownikowi z akcją GetAlert, w tym rolom o niskich uprawnieniach, na odzyskanie tych danych.

CVE-2026-56782
Krytyczne

Podatność w systemie Gorse przed wersją 0.5.10 umożliwia ominięcie uwierzytelniania w endpointach /api/dump i /api/restore. Atakujący bez uwierzytelnienia może wyeksfiltrować całą bazę danych zawierającą dane osobowe użytkowników lub całkowicie nadpisać zbiór danych.

CVE-2026-56781
Średnie

Podatność w Teable przed wersją z 15 czerwca 2026 roku umożliwia anonimowym atakującym dostęp do ukrytych danych pól poprzez podanie dowolnych identyfikatorów pól w parametrze projekcji endpointu widoku udostępnionego. Atakujący mogą wyliczyć identyfikatory ukrytych pól z metadanych udostępnienia i odczytać wartości pól, które powinny być niedostępne publicznie.

PoprzedniaStrona 98 z 4465Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS