Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-33229
Krytyczne

Platforma XWiki to ogólna platforma wiki oferująca usługi uruchomieniowe dla aplikacji zbudowanych na jej podstawie. Przed wersjami 17.4.8 i 17.10.1, niewłaściwie zabezpieczone API skryptowe pozwalało każdemu użytkownikowi z prawami skryptowymi na ominięcie piaskownicy API skryptowego Velocity i wykonanie dowolnych skryptów Pythona, co umożliwiało pełny dostęp do instancji XWiki.

CVE-2026-31040
Krytyczne

Zidentyfikowano podatność w stata-mcp przed wersją 1.13.0, gdzie niewystarczająca walidacja treści plików do-file dostarczonych przez użytkownika może prowadzić do wykonania nieautoryzowanych poleceń.

CVE-2026-39640
Krytyczne

Podatność typu Cross-Site Request Forgery (CSRF) w motywie Theme Editor mndpsingh287 umożliwia wstrzykiwanie kodu. Problem ten dotyczy wersji Theme Editor od n/a do 3.2 włącznie.

CVE-2026-39620
Krytyczne

Podatność typu Cross-Site Request Forgery (CSRF) w aplikacji Appointment pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji Appointment od n/a do 3.5.5 włącznie.

CVE-2026-39619
Krytyczne

Podatność typu Cross-Site Request Forgery (CSRF) w aplikacji Busiprof umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji Busiprof od n/a do 2.5.2 włącznie.

CVE-2026-39617
Krytyczne

Podatność typu Cross-Site Request Forgery (CSRF) w aplikacji Bluestreet pozwala na przeprowadzenie ataków CSRF. Problem ten dotyczy wersji Bluestreet od n/a do 1.7.3 włącznie.

CVE-2026-33088
Krytyczne

Movable Type dostarczany przez Six Apart Ltd. zawiera podatność na wstrzykiwanie SQL, która może umożliwić atakującemu wykonanie dowolnego polecenia SQL.

CVE-2026-25776
Krytyczne

Movable Type dostarczany przez Six Apart Ltd. zawiera podatność na wstrzykiwanie kodu, która może umożliwić atakującemu wykonanie dowolnego skryptu Perl.

CVE-2026-3535
Krytyczne

Wtyczka DSGVO Google Web Fonts GDPR dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji `DSGVOGWPdownloadGoogleFonts()`. Funkcja ta jest dostępna przez hak `wp_ajax_nopriv_`, co nie wymaga uwierzytelnienia, i umożliwia atakującym przesyłanie dowolnych plików, w tym webshelli PHP.

CVE-2026-4003
Krytyczne

Wtyczka Users manager – PN dla WordPressa jest podatna na eskalację uprawnień poprzez aktualizację dowolnych metadanych użytkownika we wszystkich wersjach do i włącznie z 1.1.15. Problem wynika z błędnej logiki autoryzacji w funkcji userspn_ajax_nopriv_server(), która nie blokuje dostępu w przypadku podania niepustego user_id.

CVE-2026-3296
Krytyczne

Wtyczka Everest Forms dla WordPressa jest podatna na wstrzyknięcie obiektów PHP we wszystkich wersjach do 3.4.3 włącznie, poprzez deserializację nieufnych danych wejściowych z metadanych wpisów formularzy. Problem wynika z wywołania funkcji PHP unserialize() na przechowywanych wartościach metadanych bez przekazania parametru allowed_classes.

CVE-2026-27143
Krytyczne

W zmiennych indukcyjnych w pętlach nie sprawdzano poprawnie wystąpień niedomiaru lub przelania. W efekcie kompilator mógł zezwolić na nieprawidłowe indeksowanie w czasie wykonywania, co potencjalnie prowadziło do uszkodzenia pamięci.

CVE-2026-1346
Krytyczne

IBM Verify Identity Access Container w wersjach 11.0 do 11.0.2 oraz IBM Security Verify Access Container w wersjach 10.0 do 10.0.9.1 mogą pozwolić lokalnie uwierzytelnionemu użytkownikowi na eskalację uprawnień do poziomu root z powodu wykonywania z niepotrzebnymi uprawnieniami.

CVE-2026-39847
Krytyczne

Emmett to pełnostackowy framework webowy w Pythonie, który w wersjach od 2.5.0 do przed 2.8.1 jest podatny na ataki typu path traversal w obsłudze statycznych zasobów. Atakujący może wykorzystać sekwencje ../, aby odczytać dowolne pliki poza katalogiem zasobów.

CVE-2026-39846
Krytyczne

SiYuan to system zarządzania wiedzą osobistą. W wersjach przed 3.6.4 złośliwa notatka zsynchronizowana z innym użytkownikiem może wywołać zdalne wykonanie kodu w kliencie desktopowym SiYuan Electron, z powodu braku bezpiecznego escapowania treści nagłówków tabeli.

CVE-2026-34582
Krytyczne

Biblioteka kryptograficzna Botan w wersjach przed 3.11.1 zawiera podatność w implementacji TLS 1.3, która pozwala na przetwarzanie rekordów danych aplikacji przed odebraniem wiadomości Finished. Klient może ominąć uwierzytelnianie certyfikatowe, pomijając całkowicie wiadomości Certificate, CertificateVerify i Finished, a zamiast tego wysyłając rekordy danych aplikacji.

CVE-2026-34078
KrytyczneEPSS 74%

Flatpak przed wersją 1.16.4 zawiera podatność, w której portal Flatpak akceptuje ścieżki w opcjach sandbox-expose, które mogą być kontrolowanymi przez aplikację dowiązaniami symbolicznymi wskazującymi na dowolne ścieżki. Flatpak run montuje rozwiązaną ścieżkę hosta w piaskownicy, co daje aplikacjom dostęp do wszystkich plików hosta i może być wykorzystane jako prymityw do uzyskania wykonania kodu w kontekście hosta.

CVE-2026-39397
Krytyczne

Wtyczka PayloadCMS @delmaredigital/payload-puck przed wersją 0.6.23 miała lukę, która pozwalała na ominięcie kontroli dostępu na poziomie kolekcji dla wszystkich punktów końcowych CRUD w /api/puck/*. Opcja dostępu przekazywana do createPuckPlugin() oraz zasady dostępu zdefiniowane dla kolekcji zarejestrowanych w Puck były ignorowane.

CVE-2026-33439
Krytyczne

Open Access Management (OpenAM) przed wersją 16.0.6 jest podatny na zdalne wykonanie kodu (RCE) przed uwierzytelnieniem, z powodu niebezpiecznej deserializacji Java parametru jato.clientSession. Atakujący może wysłać spreparowany obiekt Java jako parametr GET/POST, co pozwala na wykonanie dowolnych poleceń na serwerze.

CVE-2025-69515
Krytyczne

Podatność w systemie Android w radiu samochodowym JXL 9 Inch Car Android Double Din Player w wersji 12.0 umożliwia atakującemu narzucenie systemowi infotainment fałszywych sygnałów GPS jako prawdziwych, co prowadzi do zgłaszania przez urządzenie nieprawidłowej lub statycznej lokalizacji.

PoprzedniaStrona 116 z 562Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS