Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
Wtyczka WP Go Maps – Most Popular Map Plugin dla WordPressa jest podatna na obejście autoryzacji we wszystkich wersjach do i włącznie z 10.1.01. Problem wynika z niewłaściwej weryfikacji uprawnień użytkownika, co pozwala nieautoryzowanym atakującym na tworzenie dowolnych rekordów w tabelach bazy danych wtyczki.
PhpWeasyPrint to biblioteka PHP umożliwiająca generowanie PDF z URL lub strony HTML. W wersjach przed 2.6.0, biblioteka ta pobierała zawartość wartości opcji po stronie serwera, co prowadziło do możliwości ataku typu Server-Side Request Forgery oraz ujawnienia lokalnych plików.
Przed wersją 1.22.1 biblioteki libheif, dekoder nieskompresowanego formatu HEIF nieprawidłowo sprawdzał zakresy przesunięć skompresowanych jednostek. Dodanie wartości unit_offset i unit_size może spowodować przepełnienie liczb całkowitych, co pozwala na ominięcie walidacji i odczyt poza dozwolonym buforem, prowadząc do awarii.
Komponent Joomla! Easy Shop w wersji 1.2.3 zawiera podatność na lokalne włączenie pliku, która pozwala nieautoryzowanym atakującym na odczyt dowolnych plików poprzez podanie ścieżek plików zakodowanych w base64. Atakujący mogą wysyłać żądania GET do index.php z odpowiednimi parametrami, aby uzyskać dostęp do wrażliwych plików.
Wykryto podatność na przepełnienie całkowitej liczby w urządzeniu virtio-snd, która występuje w wyniku żądań PCM_INFO od gościa. Złośliwy gość może dostarczyć liczbę strumieni poza dozwolonym zakresem, co może prowadzić do nieograniczonego przydziału pamięci na hoście oraz stanu odmowy usługi.
Serwer czasu GNSS GridTime 3000 zawiera podatność na otwarte przekierowanie w formularzu zmiany hasła. Atakujący może wykorzystać tę lukę do przekierowania użytkownika na złośliwą stronę po zmianie hasła.
W GridTime 3000 wykryto podatność na atak XSS w formularzu resetowania hasła, wynikającą z nieprawidłowej neutralizacji danych wejściowych podczas generowania strony. Problem dotyczy wersji od 1.0r0.03 do 1.2r0.0.
Serwer czasu GNSS GridTime 3000 ujawnia token dostępu w parametrach URL niektórych endpointów. Podatność dotyczy wersji od 1.0r0.03 do 1.1r0.0.
W produkcie Microchip GridTime 3000 wykryto podatność na ataki XSS spowodowaną niewłaściwą neutralizacją danych wejściowych podczas generowania stron WWW. Luka umożliwia atakującemu wstrzyknięcie złośliwego skryptu do przeglądarki ofiary.
Biblioteka compose-rich-editor (v1.0.0-rc14) używana w HCL Verse dla Androida nieprawidłowo waliduje wszystkie dane wejściowe HTML, co może prowadzić do wykonania złośliwej treści w określonych sytuacjach.
Podatność CVE-2026-49231 dotyczy obejścia uwierzytelniania poprzez fałszowanie wtyczki opa. Atakujący może przesyłać sfałszowane nagłówki tożsamości do usługi upstream, co może pozwolić mu na przyjęcie wyższych uprawnień.
W NI grpc-device w wersji 2.17.0 i wcześniejszych występuje wyciek pamięci w funkcji BeginSidebandStream, co może prowadzić do odmowy usługi z powodu wyczerpania pamięci.
W NI grpc-device w wersji 2.17.0 i wcześniejszych występuje podatność związana z niezweryfikowanym rzutowaniem enum w funkcji BeginSidebandStream. Może to pozwolić atakującemu na wywołanie nieprawidłowych stanów enum i nieokreślonego zachowania, co potencjalnie prowadzi do odmowy usługi.
W Apache APISIX występuje podatność na obejście uwierzytelnienia poprzez atak typu capture-replay. Atakujący może wykorzystać określone konfiguracje w hmac-auth, aby na stałe używać tokena, omijając jego datę ważności.
Podatność typu 'Open Redirect' w Apache APISIX umożliwia przekierowanie użytkowników na niezaufane strony, co może prowadzić do phishingu i kradzieży danych uwierzytelniających. Dotyczy to wersji od 3.0.0 do 3.16.0.
Podatność w Apache APISIX związana z użyciem mniej zaufanego źródła umożliwia atakującym wykorzystanie wtyczki wolf-rbac w domyślnej konfiguracji, co może prowadzić do zafałszowania logów oraz naruszenia zasad kontroli dostępu opartej na adresach IP.
W FFmpeg zidentyfikowano podatność typu use-after-free w dekoderze wideo RASC. Funkcja decode_move() inicjalizuje wskaźnik odczytu w zdekompresowanym buforze, ale późniejsza reallocacja tego samego bufora podczas przetwarzania tabeli ruchu pozostawia wskaźnik nieaktualny.
Cloudflare Quiche jest podatny na dwie luki typu use-after-free w funkcjach iteratora identyfikatora połączenia FFI. Funkcje te zwracają wskaźnik do 'ConnectionId', który jest tracony na końcu zakresu tych funkcji.
W dotkniętych wersjach Octopus Server z określonymi poziomami dostępu istniała możliwość osadzenia ładunku Cross-Site Scripting za pomocą artefaktów.
Framework AIL zawiera podatność na traversję ścieżki w punkcie końcowym /objects/item/diff. Umożliwia to uwierzytelnionemu użytkownikowi AIL stworzenie złośliwych identyfikatorów przedmiotów, które mogą prowadzić do nieautoryzowanego ujawnienia lokalnych plików.

