Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-54817
Średnie

Podatność w API MStore FluxBuilder umożliwia obejście uwierzytelnienia poprzez alternatywną ścieżkę lub kanał, co pozwala na wykorzystanie funkcji odzyskiwania hasła.

CVE-2026-52716
Średnie

W wersjach WorkScout-Core do 1.7.11 występuje podatność umożliwiająca nieautoryzowane usunięcie dowolnego pliku.

CVE-2025-15657
Średnie

W wersjach School Management <= 93.1.0 występuje podatność na nieautoryzowane bezpośrednie odniesienia do obiektów (IDOR). Umożliwia to atakującym dostęp do danych, do których nie powinni mieć dostępu.

CVE-2026-8607
Średnie

Wtyczka myCred dla WordPressa, odpowiedzialna za zarządzanie punktami w programach lojalnościowych, jest podatna na atak typu Stored Cross-Site Scripting poprzez atrybut 'wrap' Shortcode. Problem ten występuje we wszystkich wersjach do 3.1 włącznie z powodu niewystarczającej sanitizacji danych wejściowych i ucieczki danych wyjściowych.

CVE-2026-8494
Średnie

Wtyczka Permalink Manager Lite dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez tytuły postów w interfejsie Edytora URI w panelu administracyjnym. Problem dotyczy wszystkich wersji do i włącznie z 2.5.3.3 z powodu niewystarczającego zabezpieczenia wyjścia.

CVE-2026-8383
Średnie

Wtyczka LearnPress dla WordPressa przed wersją 4.3.7 nie zabezpiecza kontekstu `edit` na jednym ze swoich punktów końcowych REST, co pozwala nieautoryzowanym użytkownikom na uzyskanie informacji o rolach użytkowników, pełnej mapie uprawnień, dodatkowych uprawnieniach, lokalizacji oraz dacie rejestracji za pomocą odpowiednio skonstruowanego żądania.

CVE-2026-7850
Średnie

Wtyczka WP Magnific Popup dla WordPressa w wersji do 1.0 nieprawidłowo ucieka linki kontrolowane przez użytkownika przed ich wstrzyknięciem do DOM, co pozwala na ataki typu Stored Cross-Site Scripting.

CVE-2026-55706
Średnie

W systemie OpenBSD przed wersją 076e2b1 występuje luka w funkcji sppp_pap_input, która umożliwia obejście uwierzytelniania poprzez wykorzystanie określonych zerowych wartości długości.

CVE-2026-54196
Średnie

Wersje JetFormBuilder do 3.6.1 zawierają podatność umożliwiającą eskalację uprawnień subskrybenta.

CVE-2026-49072
Średnie

Wtyczka WooCommerce Anti-Fraud w wersjach do 7.2.6 zawiera lukę w kontroli dostępu, która pozwala na nieautoryzowany dostęp do funkcji.

CVE-2026-49071
Średnie

Wtyczka WooCommerce Dropshipping w wersjach do 5.2.4 zawiera lukę w zabezpieczeniach, która pozwala na nieautoryzowane przejęcie sesji użytkownika.

CVE-2026-48783
Średnie

Postiz to narzędzie do planowania postów w mediach społecznościowych oparte na AI. W wersjach przed 2.21.8 istniał nieautoryzowany punkt końcowy, który akceptował podpisany token i stosował skutki egzekucji subskrypcji bez weryfikacji celu tokena.

CVE-2026-48782
Średnie

W wersjach 1.56.0 do 1.101.0 oraz 2.0.0b1 i 2.0.0b2 frameworka Pydantic AI, blokada metadanych w chmurze mogła zostać ominięta poprzez kodowanie adresu IP metadanych w formie przejściowej IPv6, co prowadziło do ujawnienia krótkoterminowych poświadczeń IAM w chmurze. Poprzednia poprawka nie dekodowała wszystkich form przejściowych IPv6, co skutkowało luką w zabezpieczeniach.

CVE-2026-47340
Średnie

W Apache DolphinScheduler przed wersją 3.4.2 uwierzytelnieni użytkownicy mogą uzyskać dostęp do instancji alertów związanych z grupami alertów, do których nie mają uprawnień.

CVE-2026-47277
Średnie

Runtipi w wersjach 4.9.1 do 4.9.3 umożliwia odczyt dowolnych plików przez nieautoryzowany punkt końcowy, co prowadzi do ujawnienia lokalnych plików z kontenera Runtipi. Problem wynika z niewłaściwego sprawdzania ścieżek dla symbolicznych linków w repozytoriach aplikacji.

CVE-2026-45436
Średnie

W WPBakery Page Builder w wersjach do 8.7.2 występuje problem z kontrolą dostępu, który może umożliwić nieautoryzowanym użytkownikom dostęp do zasobów subskrybentów.

CVE-2026-44587
Średnie

W frameworku CarrierWave, w wersjach przed 2.2.7 i 3.1.3, sprawdzenie denylisty content_type_denylist nie poprawnie obsługuje metaznaki regex w wpisach tekstowych, co prowadzi do braku blokowania zamierzonych typów zawartości. W rezultacie aplikacje mogą być narażone na ataki XSS poprzez przesyłanie plików SVG zawierających złośliwy JavaScript.

CVE-2026-42357
Średnie

Podatność związana z nieprawidłową autoryzacją pozwala użytkownikom na dostęp do informacji o instancjach workflow, które należą do projektów, do których nie mają uprawnień.

CVE-2026-41280
Średnie

Podatność związana z nieprawidłową autoryzacją pozwala użytkownikom z uprawnieniami logowania do systemu na usuwanie definicji zadań w nieautoryzowanych projektach.

CVE-2026-40724
Średnie

Wersje CP Client Portal (Pro) do 5.6.2 mają podatność umożliwiającą pobieranie dowolnych plików przez nieautoryzowanych użytkowników.

PoprzedniaStrona 112 z 560Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS