Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
CVE-2026-42489 dotyczy braku sprawiedliwości w sposobie nabywania blokady systemowej podczas operacji domctl, co może prowadzić do problemów z równoległym wykonywaniem tych operacji.
Podatność w Docker Sandboxes (sbx) polega na tym, że blokada ruchu ICMP (egress) jest stosowana tylko podczas tworzenia sieci, ale nie jest ponownie aplikowana po restarcie demona Dockera. W rezultacie sandbox, który przetrwa restart, umożliwia wysyłanie pakietów ICMP do dowolnych hostów.
W firmware kamery IP V380 firmy Shenzhen Liandian Communication Technology LTD występuje luka związana z naruszeniem granic autoryzacji w pipeline'ie dostarczania mediów RTSP. Umożliwia to nieautoryzowanym aktorom sieciowym ominięcie procesu uwierzytelniania i bezpośrednie uzyskanie dostępu do strumienia wideo na żywo.
Podatność w Docker Sandboxes (sbx) pozwala na ominięcie listy dozwolonych domen HTTP/S poprzez wykorzystanie tunelowania DNS. Wbudowany serwer DNS przekazuje zapytania do hosta bez sprawdzania polityki, co umożliwia nieufnemu obciążeniu eksfiltrację danych zakodowanych w etykietach DNS.
Wtyczka Fancy Testimonials dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez atrybut 'author' w skrócie 'testimonial' we wszystkich wersjach do 1.0 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia.
8cc jest podatny na odczyt poza zakresem z powodu niewłaściwego przetwarzania dyrektyw #line i znaczników GNU. Kompilator akceptuje kontrolowane przez atakującego metadane dotyczące nazw plików i numerów linii, które są później używane bez walidacji.
Wtyczka Slideshow Gallery LITE dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez atrybut 'alwaysauto' shortcode w wersjach do 1.8.5 włącznie. Problem wynika z niewystarczającej sanitizacji danych wejściowych oraz ucieczki danych wyjściowych dla atrybutów dostarczanych przez użytkowników.
Wtyczka MagicForm dla WordPressa w wersji do 0.1.3 nieprawidłowo waliduje typ plików przesyłanych przez nieautoryzowaną akcję AJAX, gdy lista dozwolonych rozszerzeń dla pól formularza jest pusta. To pozwala nieautoryzowanym atakującym na przesyłanie plików PHP i wykonywanie dowolnego kodu na serwerze.
Cotonti w wersji 1.0.0 (gałąź master, commit f43f1fc3) jest podatny na atak Cross-Site Request Forgery w module Personal File Storage (PFS). Akcja aktualizacji folderu ('a=update') nie weryfikuje tokenu anty-CSRF, co pozwala na modyfikację metadanych folderu przez złośliwe żądanie.
W pliku AndroidManifest.xml występuje możliwa trwała odmowa usługi z powodu braku sprawdzenia uprawnień. Może to prowadzić do lokalnej odmowy usługi bez potrzeby dodatkowych uprawnień wykonawczych.
Wtyczka SysBasics Customize My Account dla WooCommerce jest podatna na odzwierciedlone ataki Cross-Site Scripting poprzez parametr 'tab' w wersjach do 4.3.6 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia. Atakujący mogą wstrzykiwać dowolne skrypty webowe, co wymaga, aby ofiara była zalogowana z dostępem co najmniej na poziomie Menedżera Sklepu.
Wtyczka Customize My Account For Woocommerce dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez shortcode 'sysbasics_user_avatar' w wersjach do 4.3.6 włącznie. Problem wynika z niewystarczającej sanitizacji wejścia i ucieczki wyjścia atrybutów dostarczanych przez użytkowników.
Wtyczka Kalendarz Rezerwacji Spotkań dla WordPressa jest podatna na ujawnienie wrażliwych informacji w wersjach do 1.4.01 włącznie. Problem wynika z niewystarczającej autoryzacji oraz braku kontroli własności kalendarza w funkcji cpabc_appointments_calendar_load2().
Wtyczka PowerPress Podcasting od Blubrry dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez pole 'embed' w metadanych odcinka. Problem ten występuje we wszystkich wersjach do 11.16.8 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia.
Wtyczka Equalize Digital Accessibility Checker dla WordPress jest podatna na obejście autoryzacji we wszystkich wersjach do 1.42.1 włącznie. Problem wynika z niewłaściwej weryfikacji uprawnień użytkownika, co pozwala atakującym z poziomem dostępu autora i wyżej na manipulację rekordami problemów związanych z dostępnością.
Wtyczka FireBox Popups – Increase Sales and Grow Your Email List dla WordPress jest podatna na ujawnienie wrażliwych informacji we wszystkich wersjach do i włącznie z 3.1.7 poprzez parametr 'form_id'. Umożliwia to nieautoryzowanym atakującym pobranie pełnego eksportu CSV wszystkich zgłoszeń formularzy, w tym wszelkich danych osobowych przesłanych przez użytkowników.
Wtyczka Simple Membership dla WordPressa jest podatna na obejście autoryzacji we wszystkich wersjach do 4.7.5 włącznie. Problem wynika z braku odpowiedniej weryfikacji uprawnień użytkownika, co pozwala nieautoryzowanym atakującym dezaktywować konta członków.
Wtyczka Optimole do WordPressa jest podatna na atak Cross-Site Request Forgery (CSRF) w wersjach do 4.2.6. Problem wynika z braku lub nieprawidłowej walidacji nonce w funkcji replace_file, co pozwala na nadpisanie istniejących załączników medialnych przez nieautoryzowanych atakujących.
Wtyczka Form Maker od 10Web, służąca do tworzenia formularzy kontaktowych w WordPressie, jest podatna na ogólną injekcję SQL poprzez parametr 'name' we wszystkich wersjach do 1.15.43 włącznie. Problem wynika z niewystarczającego zabezpieczenia parametru dostarczonego przez użytkownika oraz braku odpowiedniego przygotowania istniejącego zapytania SQL.
Wtyczka Form Maker od 10Web, służąca do tworzenia formularzy kontaktowych w WordPressie, jest podatna na ogólną injekcję SQL poprzez parametr 'groupids' we wszystkich wersjach do 1.15.43 włącznie. Problem wynika z niewystarczającego zabezpieczenia dostarczonego przez użytkownika parametru oraz braku odpowiedniego przygotowania istniejącego zapytania SQL.

