Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-51946
Średnie

Podatność SQL Injection w GoAdminGroup GoAdmin (ostatnie wydanie v1.2.26) umożliwia zdalnemu atakującemu wykonanie dowolnego kodu i uzyskanie wrażliwych informacji poprzez parametr URL __sort_type na wszystkich endpointach /admin/info/{table}.

CVE-2026-49090
Średnie

Podatność CVE-2026-49090 w Elasticsearch umożliwia atak typu odmowa usługi (DoS) poprzez niekontrolowane zużycie zasobów. Uwierzytelniony użytkownik może wysłać spreparowane żądanie zbiorcze (bulk request), które powoduje długotrwałe wysokie obciążenie procesora, uniemożliwiając węzłowi przetwarzanie innych zapytań.

CVE-2026-57721
Średnie

Wtyczka ApplyOnline dla WordPressa zawiera lukę braku autoryzacji, która umożliwia wykorzystanie nieprawidłowo skonfigurowanych poziomów bezpieczeństwa kontroli dostępu. Luka dotyczy wersji od n/a do 2.6.7.6.

CVE-2026-57720
Średnie

Wtyczka ThumbPress dla WordPressa zawiera lukę braku autoryzacji, która umożliwia wykorzystanie nieprawidłowo skonfigurowanych poziomów bezpieczeństwa kontroli dostępu. Podatność dotyczy wszystkich wersji od n/a do 6.3.2 włącznie.

CVE-2026-56151
Średnie

Podatność CVE-2026-56151 w Kibanie wynika z nieprawidłowej walidacji danych wejściowych (CWE-20). Uwierzytelniony użytkownik może przesłać specjalnie spreparowane dane wejściowe polityki Fleet, co prowadzi do odmowy usługi (DoS) poprzez manipulację danymi wejściowymi (CAPEC-153). Atak ten uniemożliwia działanie zarządzania agentami Fleet, serwerem oraz politykami.

CVE-2026-56150
Średnie

Podatność CWE-770 w Fleet Server umożliwia atakującemu wysłanie specjalnie spreparowanego żądania do punktu końcowego przesyłania plików, co prowadzi do nadmiernego zużycia pamięci i może spowodować odmowę usługi (DoS).

CVE-2026-56149
Średnie

Podatność CWE-770 w Elasticsearch umożliwia atak DoS poprzez nadmierną alokację pamięci. Użytkownik z podwyższonymi uprawnieniami może wysłać spreparowane żądanie uczenia maszynowego, co prowadzi do wyczerpania zasobów i niedostępności węzła.

CVE-2026-56148
Średnie

Podatność CVE-2026-56148 w Elasticsearch umożliwia niekontrolowaną rekurencję, co prowadzi do odmowy usługi. Uwierzytelniony użytkownik może wysłać specjalnie spreparowane zapytanie, które powoduje nadmierne zużycie zasobów podczas przetwarzania, potencjalnie uniemożliwiając działanie dotkniętego węzła.

CVE-2026-49088
Średnie

Podatność CVE-2026-49088 w Kibanie umożliwia wstawianie wrażliwych informacji do plików dziennika. Gdy opcjonalne monitorowanie wydajności aplikacji (APM) jest włączone, wrażliwe wartości nagłówków żądań mogą być rejestrowane w logach aplikacji.

CVE-2026-49087
Średnie

Podatność CWE-770 w Kibanie umożliwia atak DoS poprzez nadmierną alokację zasobów. Uwierzytelniony użytkownik może wysłać spreparowane żądanie masowego usunięcia, powodując wyczerpanie zasobów i niedostępność Kibany.

CVE-2026-34098
Średnie

Podatność w systemie językowym Guardian polega na braku sanityzacji parametru GET 'id' przed wstawieniem go do kodu HTML i atrybutów akcji formularza w pliku media.php (linie 119, 129). Uwierzytelniony atakujący może stworzyć URL, który wstrzykuje znaczniki skryptów wykonujące się w sesji przeglądarki ofiary.

CVE-2026-34097
Średnie

Podatność w systemie językowym Guardian polega na braku sanityzacji parametru GET 'id' przed wstawieniem go do atrybutów akcji formularzy HTML w pliku text_file.php. Uwierzytelniony atakujący może stworzyć URL, który wstrzykuje skrypty wykonywane w sesji przeglądarki ofiary.

CVE-2026-34096
Średnie

Podatność XSS w systemie językowym Guardian polega na braku sanityzacji parametru GET 'name' przed wyświetleniem go w atrybucie wartości pola HTML w pliku designer.php (linia 57). Uwierzytelniony atakujący może stworzyć URL zawierający znaczniki skryptów, które wykonają się w sesji przeglądarki ofiary.

CVE-2026-27409
Średnie

Wtyczka Webba Booking dla WordPressa zawiera lukę braku autoryzacji, która umożliwia wykorzystanie nieprawidłowo skonfigurowanych poziomów bezpieczeństwa kontroli dostępu. Luka dotyczy wersji od n/a do 6.4.13 włącznie.

CVE-2026-13211
Średnie

Interfejs webowy genucenter przed wersją 8.0p11 niepotrzebnie ujawnia wrażliwe klucze uwierzytelniania i szyfrowania SNMP w odpowiedziach HTTP dla użytkowników z rolą „Serwis” lub „Administrator”.

CVE-2026-12480
Średnie

Podatność w bibliotece Keras (do wersji 3.13.2 włącznie) umożliwia odczyt dowolnego pliku HDF5 z systemu ofiary. Wynika to z niepełnej poprawki dla CVE-2026-1669 i braku weryfikacji właściwości `dataset.is_virtual` w metodach `H5IOStore._verify_dataset()` oraz `file_editor.py`. Atakujący może dostarczyć złośliwy plik modelu `.keras` lub wag `.h5` zawierający wirtualny zestaw danych (VDS) odnoszący się do zewnętrznych plików HDF5.

CVE-2026-8480
Średnie

Podatność w Stormshield Network Security pozwala na uwierzytelnienie przy użyciu cofniętego certyfikatu klienta w portalu captive-admin. Atakujący posiadający taki certyfikat może uzyskać dostęp administracyjny.

CVE-2026-58033
Średnie

Podatność w MediaWiki umożliwia nieautoryzowanemu aktorowi dostęp do wrażliwych informacji. Problem występuje w pliku includes/Actions/InfoAction.php.

CVE-2026-58032
Średnie

W MediaWiki przed wersjami 1.46.0, 1.45.4, 1.44.6 i 1.43.9 występuje podatność na ataki XSS w pliku resources/src/mediawiki.Api/index.js. Brak odpowiedniej neutralizacji danych wejściowych podczas generowania stron internetowych umożliwia wstrzyknięcie złośliwego skryptu.

CVE-2026-58030
Średnie

Podatność XSS w rozszerzeniu SyntaxHighlight_GeSHi dla MediaWiki umożliwia atakującemu wstrzyknięcie złośliwego kodu JavaScript poprzez nieprawidłową neutralizację danych wejściowych podczas generowania strony. Problem dotyczy pliku includes/SyntaxHighlight.php.

PoprzedniaStrona 10 z 524Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS