Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-42489
Średnie

CVE-2026-42489 dotyczy braku sprawiedliwości w sposobie nabywania blokady systemowej podczas operacji domctl, co może prowadzić do problemów z równoległym wykonywaniem tych operacji.

CVE-2026-12539
Średnie

Podatność w Docker Sandboxes (sbx) polega na tym, że blokada ruchu ICMP (egress) jest stosowana tylko podczas tworzenia sieci, ale nie jest ponownie aplikowana po restarcie demona Dockera. W rezultacie sandbox, który przetrwa restart, umożliwia wysyłanie pakietów ICMP do dowolnych hostów.

CVE-2026-12527
Średnie

W firmware kamery IP V380 firmy Shenzhen Liandian Communication Technology LTD występuje luka związana z naruszeniem granic autoryzacji w pipeline'ie dostarczania mediów RTSP. Umożliwia to nieautoryzowanym aktorom sieciowym ominięcie procesu uwierzytelniania i bezpośrednie uzyskanie dostępu do strumienia wideo na żywo.

CVE-2026-12039
Średnie

Podatność w Docker Sandboxes (sbx) pozwala na ominięcie listy dozwolonych domen HTTP/S poprzez wykorzystanie tunelowania DNS. Wbudowany serwer DNS przekazuje zapytania do hosta bez sprawdzania polityki, co umożliwia nieufnemu obciążeniu eksfiltrację danych zakodowanych w etykietach DNS.

CVE-2026-8039
Średnie

Wtyczka Fancy Testimonials dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez atrybut 'author' w skrócie 'testimonial' we wszystkich wersjach do 1.0 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia.

CVE-2026-50643
Średnie

8cc jest podatny na odczyt poza zakresem z powodu niewłaściwego przetwarzania dyrektyw #line i znaczników GNU. Kompilator akceptuje kontrolowane przez atakującego metadane dotyczące nazw plików i numerów linii, które są później używane bez walidacji.

CVE-2026-2021
Średnie

Wtyczka Slideshow Gallery LITE dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez atrybut 'alwaysauto' shortcode w wersjach do 1.8.5 włącznie. Problem wynika z niewystarczającej sanitizacji danych wejściowych oraz ucieczki danych wyjściowych dla atrybutów dostarczanych przez użytkowników.

CVE-2026-9815
Średnie

Wtyczka MagicForm dla WordPressa w wersji do 0.1.3 nieprawidłowo waliduje typ plików przesyłanych przez nieautoryzowaną akcję AJAX, gdy lista dozwolonych rozszerzeń dla pól formularza jest pusta. To pozwala nieautoryzowanym atakującym na przesyłanie plików PHP i wykonywanie dowolnego kodu na serwerze.

CVE-2026-55745
Średnie

Cotonti w wersji 1.0.0 (gałąź master, commit f43f1fc3) jest podatny na atak Cross-Site Request Forgery w module Personal File Storage (PFS). Akcja aktualizacji folderu ('a=update') nie weryfikuje tokenu anty-CSRF, co pozwala na modyfikację metadanych folderu przez złośliwe żądanie.

CVE-2026-28573
Średnie

W pliku AndroidManifest.xml występuje możliwa trwała odmowa usługi z powodu braku sprawdzenia uprawnień. Może to prowadzić do lokalnej odmowy usługi bez potrzeby dodatkowych uprawnień wykonawczych.

CVE-2026-12137
Średnie

Wtyczka SysBasics Customize My Account dla WooCommerce jest podatna na odzwierciedlone ataki Cross-Site Scripting poprzez parametr 'tab' w wersjach do 4.3.6 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia. Atakujący mogą wstrzykiwać dowolne skrypty webowe, co wymaga, aby ofiara była zalogowana z dostępem co najmniej na poziomie Menedżera Sklepu.

CVE-2026-12136
Średnie

Wtyczka Customize My Account For Woocommerce dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez shortcode 'sysbasics_user_avatar' w wersjach do 4.3.6 włącznie. Problem wynika z niewystarczającej sanitizacji wejścia i ucieczki wyjścia atrybutów dostarczanych przez użytkowników.

CVE-2026-12111
Średnie

Wtyczka Kalendarz Rezerwacji Spotkań dla WordPressa jest podatna na ujawnienie wrażliwych informacji w wersjach do 1.4.01 włącznie. Problem wynika z niewystarczającej autoryzacji oraz braku kontroli własności kalendarza w funkcji cpabc_appointments_calendar_load2().

CVE-2026-12098
Średnie

Wtyczka PowerPress Podcasting od Blubrry dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez pole 'embed' w metadanych odcinka. Problem ten występuje we wszystkich wersjach do 11.16.8 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia.

CVE-2026-9199
Średnie

Wtyczka Equalize Digital Accessibility Checker dla WordPress jest podatna na obejście autoryzacji we wszystkich wersjach do 1.42.1 włącznie. Problem wynika z niewłaściwej weryfikacji uprawnień użytkownika, co pozwala atakującym z poziomem dostępu autora i wyżej na manipulację rekordami problemów związanych z dostępnością.

CVE-2026-12120
Średnie

Wtyczka FireBox Popups – Increase Sales and Grow Your Email List dla WordPress jest podatna na ujawnienie wrażliwych informacji we wszystkich wersjach do i włącznie z 3.1.7 poprzez parametr 'form_id'. Umożliwia to nieautoryzowanym atakującym pobranie pełnego eksportu CSV wszystkich zgłoszeń formularzy, w tym wszelkich danych osobowych przesłanych przez użytkowników.

CVE-2026-12093
Średnie

Wtyczka Simple Membership dla WordPressa jest podatna na obejście autoryzacji we wszystkich wersjach do 4.7.5 włącznie. Problem wynika z braku odpowiedniej weryfikacji uprawnień użytkownika, co pozwala nieautoryzowanym atakującym dezaktywować konta członków.

CVE-2026-11784
Średnie

Wtyczka Optimole do WordPressa jest podatna na atak Cross-Site Request Forgery (CSRF) w wersjach do 4.2.6. Problem wynika z braku lub nieprawidłowej walidacji nonce w funkcji replace_file, co pozwala na nadpisanie istniejących załączników medialnych przez nieautoryzowanych atakujących.

CVE-2026-11777
Średnie

Wtyczka Form Maker od 10Web, służąca do tworzenia formularzy kontaktowych w WordPressie, jest podatna na ogólną injekcję SQL poprzez parametr 'name' we wszystkich wersjach do 1.15.43 włącznie. Problem wynika z niewystarczającego zabezpieczenia parametru dostarczonego przez użytkownika oraz braku odpowiedniego przygotowania istniejącego zapytania SQL.

CVE-2026-11776
Średnie

Wtyczka Form Maker od 10Web, służąca do tworzenia formularzy kontaktowych w WordPressie, jest podatna na ogólną injekcję SQL poprzez parametr 'groupids' we wszystkich wersjach do 1.15.43 włącznie. Problem wynika z niewystarczającego zabezpieczenia dostarczonego przez użytkownika parametru oraz braku odpowiedniego przygotowania istniejącego zapytania SQL.

PoprzedniaStrona 108 z 560Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS