Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-12238
Średnie

Wtyczka WP Go Maps – Most Popular Map Plugin dla WordPressa jest podatna na obejście autoryzacji we wszystkich wersjach do i włącznie z 10.1.01. Problem wynika z niewłaściwej weryfikacji uprawnień użytkownika, co pozwala nieautoryzowanym atakującym na tworzenie dowolnych rekordów w tabelach bazy danych wtyczki.

CVE-2026-49359
Średnie

PhpWeasyPrint to biblioteka PHP umożliwiająca generowanie PDF z URL lub strony HTML. W wersjach przed 2.6.0, biblioteka ta pobierała zawartość wartości opcji po stronie serwera, co prowadziło do możliwości ataku typu Server-Side Request Forgery oraz ujawnienia lokalnych plików.

CVE-2026-49271
Średnie

Przed wersją 1.22.1 biblioteki libheif, dekoder nieskompresowanego formatu HEIF nieprawidłowo sprawdzał zakresy przesunięć skompresowanych jednostek. Dodanie wartości unit_offset i unit_size może spowodować przepełnienie liczb całkowitych, co pozwala na ominięcie walidacji i odczyt poza dozwolonym buforem, prowadząc do awarii.

CVE-2019-25760
Średnie

Komponent Joomla! Easy Shop w wersji 1.2.3 zawiera podatność na lokalne włączenie pliku, która pozwala nieautoryzowanym atakującym na odczyt dowolnych plików poprzez podanie ścieżek plików zakodowanych w base64. Atakujący mogą wysyłać żądania GET do index.php z odpowiednimi parametrami, aby uzyskać dostęp do wrażliwych plików.

CVE-2026-3196
Średnie

Wykryto podatność na przepełnienie całkowitej liczby w urządzeniu virtio-snd, która występuje w wyniku żądań PCM_INFO od gościa. Złośliwy gość może dostarczyć liczbę strumieni poza dozwolonym zakresem, co może prowadzić do nieograniczonego przydziału pamięci na hoście oraz stanu odmowy usługi.

CVE-2026-12622
Średnie

Serwer czasu GNSS GridTime 3000 zawiera podatność na otwarte przekierowanie w formularzu zmiany hasła. Atakujący może wykorzystać tę lukę do przekierowania użytkownika na złośliwą stronę po zmianie hasła.

CVE-2026-12621
Średnie

W GridTime 3000 wykryto podatność na atak XSS w formularzu resetowania hasła, wynikającą z nieprawidłowej neutralizacji danych wejściowych podczas generowania strony. Problem dotyczy wersji od 1.0r0.03 do 1.2r0.0.

CVE-2026-12620
Średnie

Serwer czasu GNSS GridTime 3000 ujawnia token dostępu w parametrach URL niektórych endpointów. Podatność dotyczy wersji od 1.0r0.03 do 1.1r0.0.

CVE-2026-12619
Średnie

W produkcie Microchip GridTime 3000 wykryto podatność na ataki XSS spowodowaną niewłaściwą neutralizacją danych wejściowych podczas generowania stron WWW. Luka umożliwia atakującemu wstrzyknięcie złośliwego skryptu do przeglądarki ofiary.

CVE-2026-21768
Średnie

Biblioteka compose-rich-editor (v1.0.0-rc14) używana w HCL Verse dla Androida nieprawidłowo waliduje wszystkie dane wejściowe HTML, co może prowadzić do wykonania złośliwej treści w określonych sytuacjach.

CVE-2026-49231
Średnie

Podatność CVE-2026-49231 dotyczy obejścia uwierzytelniania poprzez fałszowanie wtyczki opa. Atakujący może przesyłać sfałszowane nagłówki tożsamości do usługi upstream, co może pozwolić mu na przyjęcie wyższych uprawnień.

CVE-2026-48141
Średnie

W NI grpc-device w wersji 2.17.0 i wcześniejszych występuje wyciek pamięci w funkcji BeginSidebandStream, co może prowadzić do odmowy usługi z powodu wyczerpania pamięci.

CVE-2026-48140
Średnie

W NI grpc-device w wersji 2.17.0 i wcześniejszych występuje podatność związana z niezweryfikowanym rzutowaniem enum w funkcji BeginSidebandStream. Może to pozwolić atakującemu na wywołanie nieprawidłowych stanów enum i nieokreślonego zachowania, co potencjalnie prowadzi do odmowy usługi.

CVE-2026-47341
Średnie

W Apache APISIX występuje podatność na obejście uwierzytelnienia poprzez atak typu capture-replay. Atakujący może wykorzystać określone konfiguracje w hmac-auth, aby na stałe używać tokena, omijając jego datę ważności.

CVE-2026-44915
Średnie

Podatność typu 'Open Redirect' w Apache APISIX umożliwia przekierowanie użytkowników na niezaufane strony, co może prowadzić do phishingu i kradzieży danych uwierzytelniających. Dotyczy to wersji od 3.0.0 do 3.16.0.

CVE-2026-44046
Średnie

Podatność w Apache APISIX związana z użyciem mniej zaufanego źródła umożliwia atakującym wykorzystanie wtyczki wolf-rbac w domyślnej konfiguracji, co może prowadzić do zafałszowania logów oraz naruszenia zasad kontroli dostępu opartej na adresach IP.

CVE-2026-12706
Średnie

W FFmpeg zidentyfikowano podatność typu use-after-free w dekoderze wideo RASC. Funkcja decode_move() inicjalizuje wskaźnik odczytu w zdekompresowanym buforze, ale późniejsza reallocacja tego samego bufora podczas przetwarzania tabeli ruchu pozostawia wskaźnik nieaktualny.

CVE-2026-11941
Średnie

Cloudflare Quiche jest podatny na dwie luki typu use-after-free w funkcjach iteratora identyfikatora połączenia FFI. Funkcje te zwracają wskaźnik do 'ConnectionId', który jest tracony na końcu zakresu tych funkcji.

CVE-2026-8296
Średnie

W dotkniętych wersjach Octopus Server z określonymi poziomami dostępu istniała możliwość osadzenia ładunku Cross-Site Scripting za pomocą artefaktów.

CVE-2026-56138
Średnie

Framework AIL zawiera podatność na traversję ścieżki w punkcie końcowym /objects/item/diff. Umożliwia to uwierzytelnionemu użytkownikowi AIL stworzenie złośliwych identyfikatorów przedmiotów, które mogą prowadzić do nieautoryzowanego ujawnienia lokalnych plików.

PoprzedniaStrona 104 z 560Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS