Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-5137
Średnie

Wtyczka RTMKit (rometheme-for-elementor) dla WordPressa w wersjach do 2.0.7 zawiera podatność na lokalne dołączanie plików (LFI). Problem wynika z niewystarczającej walidacji ścieżki w parametrze 'template' w punkcie końcowym AJAX render_templates, który jest używany bezpośrednio w instrukcji require/include bez sanityzacji.

CVE-2026-4322
Średnie

Wtyczka Destekz od Raera - Ankara Web Design and Digital Advertising Agency zawiera podatność na odbity atak XSS spowodowaną niewłaściwą neutralizacją danych wejściowych podczas generowania strony. Problem dotyczy wersji do 02062026, a produkt nie jest już wspierany przez producenta.

CVE-2026-4321
Krytyczne

Podatność SQL Injection w produkcie Destekz firmy Raera - Ankara Web Design and Digital Advertising Agency umożliwia atakującemu wstrzyknięcie złośliwego kodu SQL. Luka występuje we wszystkich wersjach do 02062026 włącznie. Producent nie wspiera już tego produktu.

CVE-2026-9756
Średnie

Wtyczka GenerateBlocks dla WordPressa jest podatna na trwałe ataki XSS w bloku nagłówka przez atrybut linku dynamicznego 'linkMetaFieldType' w wersjach do 2.2.1 włącznie. Podatność wynika z niedostatecznego oczyszczania danych wejściowych i braku odpowiedniego kodowania wyjścia.

CVE-2026-4804
Średnie

Motyw Zakra dla WordPressa do wersji 4.2.0 zawiera podatność na trwałe ataki XSS. Brak walidacji danych w rejestracji pól meta (zakra_menu_item_color, zakra_menu_item_hover_color, zakra_menu_item_active_color) przez REST API pozwala atakującym z dostępem na poziomie Współautora i wyższym na wstrzyknięcie złośliwego skryptu, który wykonuje się przy każdej wizycie na zainfekowanej stronie.

CVE-2026-47896
Wysokie

Podatność typu Path Traversal w bibliotece Apache Lucene.Net.Replicator umożliwia nieograniczone odczytywanie plików poza dozwolonym katalogiem. Problem dotyczy wersji od 4.8.0-beta00005 do 4.8.0-beta00017.

CVE-2026-35159
Średnie

Podatność w BIOS-ie platform Dell Client umożliwia ominięcie uwierzytelniania przez słabość pierwotną. Nieuwierzytelniony atakujący z fizycznym dostępem może potencjalnie wykorzystać tę lukę, prowadząc do ujawnienia informacji.

CVE-2026-11900
Średnie

Wtyczka Ad Inserter – Ad Manager & AdSense Ads dla WordPressa do wersji 2.8.16 włącznie zawiera podatność na niebezpieczne bezpośrednie odwołanie do obiektu (IDOR) przez atrybut 'data' shortcodu [adinserter]. Funkcja replace_ai_tags() przetwarza wzór {reusable-block-N} i wywołuje get_post_field('post_content', N) bez weryfikacji uprawnień użytkownika, bez ograniczenia typu posta do 'wp_block' i bez sprawdzania statusu posta. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie Współautora i wyższym odczytanie pełnej treści dowolnych postów, w tym prywatnych, szkiców, oczekujących, usuniętych i chronionych hasłem, należących do innych użytkowników, poprzez umieszczenie shortcodu we własnym poście i jego podgląd.

CVE-2026-11778
Średnie

Wtyczka CURCY – Multi Currency for WooCommerce dla WordPressa w wersjach do 2.2.14 zawiera podatność umożliwiającą nieuwierzytelnionym atakującym wykonanie dowolnych shortcode'ów. Problem wynika z braku walidacji wartości przed przekazaniem jej do funkcji do_shortcode.

CVE-2026-11398
Średnie

Wtyczka LatePoint do WordPressa, w wersjach do 5.6.1 włącznie, zawiera podatność na ominięcie autoryzacji. Niezautoryzowany atakujący może modyfikować dane osobowe (imię, nazwisko, numer telefonu i notatki) istniejących klientów, w tym kont administratorów, poprzez przesłanie formularza rezerwacji ze znanym adresem e-mail. Warunkiem jest włączenie opcji rezerwacji dla gości.

CVE-2026-9230
Średnie

Wtyczka Quiz and Survey Master (QSM) dla WordPressa do wersji 11.1.4 włącznie zawiera podatność na ominięcie autoryzacji. Uwierzytelniony atakujący z dostępem na poziomie współautora lub wyższym może modyfikować quizy, nadpisywać strony wyników oraz przekierowywać powiadomienia e-mail na kontrolowane przez siebie adresy.

CVE-2026-9148
Wysokie

Wtyczka Comments – wpDiscuz dla WordPressa w wersjach do 7.6.56 zawiera podatność na trwałe ataki XSS. Wynika to z braku odpowiedniego kodowania danych wyjściowych w funkcji getCommentAuthor(), która bezpośrednio wstawia wartość pola 'Website' komentatora do atrybutów HTML w apostrofach, bez użycia esc_url() lub esc_attr(). Umożliwia to niezautoryzowanym atakującym wstrzyknięcie dowolnego skryptu, który wykona się przy każdej wizycie użytkownika na zainfekowanej stronie.

CVE-2026-8804
Średnie

Podatność w Puppet resource_api (dostarczanym z Puppet Core 8.x oraz Puppet Enterprise 2023.8.x i 2025.x) powoduje, że flaga wrażliwości (sensitive) nie jest zachowywana dla parametrów zdefiniowanych przez resource-api. W rezultacie wartości takie jak hasła są przechowywane w postaci jawnego tekstu w lokalnym cache'u transakcji agenta.

CVE-2026-8351
Średnie

Wtyczka RTMKit dla WordPressa do wersji 2.0.7 zawiera podatność na trwałe ataki XSS w widżecie Advanced Heading. Wynika to z braku odpowiedniego kodowania wyjścia parametru 'Background Text' w funkcji render(), co pozwala uwierzytelnionym atakującym z dostępem na poziomie współautora lub wyższym na wstrzykiwanie dowolnych skryptów.

CVE-2026-47898
Średnie

Podatność w Apache Lucene.Net (Lucene.Net.Analysis.Common) pozwala na atak XML External Entity (XXE). Luka występuje w wersjach od 4.8.0-beta00005 do 4.8.0-beta00017.

CVE-2026-47897
Wysokie

Podatność typu Path Traversal w bibliotece Lucene.Net.Replicator umożliwia nieautoryzowany dostęp do plików poza dozwolonym katalogiem. Problem dotyczy wersji od 4.8.0-beta00005 do 4.8.0-beta00017.

CVE-2026-14544
Krytyczne

W HPLIP (HP Linux Imaging and Printing Software) znaleziono lukę będącą niekompletną poprawką dla CVE-2026-8631. Podatność ta może pozwolić zdalnemu atakującemu na eskalację uprawnień lub zdalne wykonanie kodu poprzez przepełnienie liczby całkowitej w ścieżce przetwarzania hpcups podczas obsługi specjalnie spreparowanych danych wydruku.

CVE-2026-9547
Nieznane

Podatność w libcurl powoduje, że podczas transferów SCP lub SFTP z użyciem callbacku CURLOPT_SSH_KEYFUNCTION, aplikacja może akceptować niezaufany serwer. Gdy serwer przedstawia klucz hosta innego typu niż zapisany w pliku known_hosts, mechanizm callbacku nie wymusza odrzucenia niezgodności, co pozwala na udane połączenie bez ostrzeżenia.

CVE-2026-9546
Nieznane

Podatność w bibliotece libcurl powoduje, że nagłówek HTTP `Referer:` utrzymuje się nawet po jawnym wyczyszczeniu. Zgodnie z dokumentacją, przekazanie NULL do opcji `CURLOPT_REFERER` powinno wyłączyć nagłówek, ale opcja nie czyści wewnętrznego stanu. W rezultacie poprzednia wartość referera jest błędnie ponownie używana i wysyłana w kolejnych żądaniach, co może prowadzić do wycieku poufnych informacji do niezamierzonych serwerów.

CVE-2026-9545
Nieznane

W bibliotece libcurl stwierdzono podatność polegającą na wysyłaniu danych żądania przed weryfikacją certyfikatu SSL/TLS w przypadku użycia buforowanej sesji SSL i włączonej funkcji wczesnych danych (early data) przy przejściu na HTTP/3. Atakujący może podmienić serwer na nieautoryzowaną maszynę bez ważnego certyfikatu, co prowadzi do potencjalnego wycieku wrażliwych informacji.

PoprzedniaStrona 10 z 4407Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS