Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-37340
Krytyczne

System Simple Music Cloud Community w wersji 1.0 jest podatny na atak typu SQL Injection w pliku /music/edit_music.php. Atakujący może wykorzystać tę lukę do nieautoryzowanego dostępu do bazy danych.

CVE-2026-37339
Krytyczne

System Simple Music Cloud Community w wersji 1.0 jest podatny na atak typu SQL Injection w pliku /music/view_genre.php. Atakujący może wykorzystać tę lukę do nieautoryzowanego dostępu do bazy danych.

CVE-2026-37338
Krytyczne

System Simple Music Cloud Community w wersji 1.0 jest podatny na atak typu SQL Injection w pliku /music/view_user.php. Atakujący może wykorzystać tę podatność do nieautoryzowanego dostępu do bazy danych.

CVE-2026-6270
Krytyczne

Wersje @fastify/middie do 9.3.1 nie rejestrują dziedziczonych middleware bezpośrednio na instancjach silnika wtyczek podrzędnych. To pozwala na ominięcie kontroli uwierzytelniania i autoryzacji dla żądań kierowanych do tras zdefiniowanych w wtyczkach podrzędnych.

CVE-2026-31843
Krytyczne

Pakiet Laravel goodoneuz/pay-uz w wersjach do 2.2.24 zawiera krytyczną podatność w punkcie końcowym /payment/api/editable/update, która pozwala nieautoryzowanym atakującym na nadpisywanie istniejących plików PHP związanych z płatnościami. Punkt końcowy jest dostępny bez uwierzytelnienia, co umożliwia zdalny dostęp bez podawania danych logowania.

CVE-2026-3596
Krytyczne

Wtyczka Riaxe Product Customizer dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do 2.1.2 włącznie. Wtyczka rejestruje nieautoryzowaną akcję AJAX, która umożliwia atakującym aktualizację dowolnych opcji WordPressa bez weryfikacji nonce i kontroli uprawnień.

CVE-2026-6350
Krytyczne

MailGates/MailAudit opracowane przez Openfind ma podatność typu przepełnienie bufora na stosie, która pozwala nieautoryzowanym zdalnym atakującym na kontrolowanie przepływu wykonania programu oraz wykonywanie dowolnego kodu.

CVE-2026-6349
Krytyczne

iSherlock opracowany przez HGiga ma podatność na wstrzykiwanie poleceń systemowych, co pozwala nieautoryzowanym lokalnym atakującym na wstrzykiwanie dowolnych poleceń systemowych i ich wykonywanie na serwerze.

CVE-2026-40504
Krytyczne

Creolabs Gravity w wersjach przed 0.9.6 zawiera podatność na przepełnienie bufora w stercie w funkcji gravity_vm_exec, która pozwala atakującym na zapisanie pamięci poza przydzielonym zakresem. Atakujący mogą wykorzystać niewystarczające sprawdzanie granic w gravity_fiber_reassign() do uszkodzenia metadanych sterty i osiągnięcia dowolnego wykonania kodu w aplikacjach oceniających nieufne skrypty.

CVE-2026-40959
Krytyczne

Luanti w wersji przed 5.15.2, gdy używany jest LuaJIT, umożliwia ucieczkę z piaskownicy Lua poprzez odpowiednio przygotowany moduł.

CVE-2026-4880
Krytyczne

Wtyczka Barcode Scanner dla WordPressa jest podatna na eskalację uprawnień z powodu niebezpiecznej autoryzacji opartej na tokenach we wszystkich wersjach do 1.11.0. Problem wynika z zaufania wtyczki do dostarczonego przez użytkownika identyfikatora użytkownika w tokenie, co umożliwia atakującym uzyskanie ważnych tokenów autoryzacyjnych.

CVE-2026-6388
Krytyczne

W ArgoCD Image Updater wykryto lukę, która pozwala atakującemu z uprawnieniami do tworzenia lub modyfikowania zasobu ImageUpdater w środowisku wielodostępnym na ominięcie granic przestrzeni nazw. Poprzez niewystarczającą walidację atakujący może wywołać nieautoryzowane aktualizacje obrazów w aplikacjach zarządzanych przez innych dzierżawców.

CVE-2026-40173
Krytyczne

Dgraph to otwartoźródłowa rozproszona baza danych GraphQL. W wersjach 25.3.1 i wcześniejszych występuje podatność na ujawnienie poświadczeń, która pozwala na dostęp do pełnej linii poleceń procesu bez uwierzytelnienia, co może prowadzić do nieautoryzowanego dostępu do punktów końcowych administracyjnych.

CVE-2026-6296
Krytyczne

Przepełnienie bufora w stercie w ANGLE w Google Chrome przed wersją 147.0.7727.101 umożliwia zdalnemu atakującemu potencjalne wykonanie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.

CVE-2025-41118
Krytyczne

Podatność w Pyroscope umożliwia wyodrębnienie klucza tajnego (secret_key) konfiguracji Tencent COS poprzez API, jeśli baza danych używa tego backendu. Atakujący wymaga bezpośredniego dostępu do API Pyroscope.

CVE-2026-30993
Krytyczne

W wersji 1.5.0 i wcześniejszych Slah CMS odkryto podatność na zdalne wykonanie kodu (RCE) w funkcji session() w pliku config.php. Podatność ta może być wykorzystana poprzez odpowiednio przygotowany input.

CVE-2026-20186
KrytyczneEPSS 92%

Podatność w Cisco Identity Services Engine (ISE) umożliwia uwierzytelnionemu atakującemu zdalne wykonanie dowolnych poleceń na systemie operacyjnym urządzenia. Atak wymaga co najmniej uprawnień Read Only Admin i polega na wysłaniu spreparowanego żądania HTTP.

CVE-2026-20184
Krytyczne

Podatność w integracji jednolitych logowań (SSO) z Control Hub w usługach Cisco Webex mogła umożliwić nieautoryzowanemu, zdalnemu atakującemu podszycie się pod dowolnego użytkownika w usłudze. Problem wynikał z niewłaściwej walidacji certyfikatów.

CVE-2026-20180
KrytyczneEPSS 92%

Podatność w Cisco Identity Services Engine (ISE) umożliwia uwierzytelnionemu atakującemu zdalne wykonanie dowolnych poleceń na systemie operacyjnym urządzenia. Atak wymaga co najmniej uprawnień Read Only Admin i polega na wysłaniu spreparowanego żądania HTTP.

CVE-2026-20147
KrytyczneEPSS 95%

Podatność w Cisco ISE i Cisco ISE-PIC umożliwia uwierzytelnionemu zdalnie administratorowi wykonanie dowolnych poleceń w systemie operacyjnym urządzenia. Problem wynika z niewystarczającej walidacji danych wejściowych użytkownika.

PoprzedniaStrona 107 z 561Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS