Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
Podatność SSRF w aplikacji UniFi Talk umożliwia atakującemu z dostępem do sieci wykonanie ataku DoS oraz ominięcie uwierzytelniania w wybranych punktach końcowych API.
Podatność w UniFi OS z aplikacją UniFi Protect umożliwia eskalację uprawnień na urządzeniu hosta. Atakujący z dostępem do sieci i niskimi uprawnieniami może wykorzystać nieprawidłową kontrolę dostępu.
Podatność Path Traversal w urządzeniach UniFi Protect Floodlight umożliwia osobie atakującej z dostępem do sieci odczyt plików na podatnym urządzeniu.
Podatność w UniFi OS wynika z błędnej konfiguracji mechanizmu CORS, co pozwala atakującemu nakłonić uwierzytelnionego użytkownika do odwiedzenia złośliwej strony i wykonania działań w systemie przy użyciu jego sesji.
Podatność w aplikacji UniFi Protect umożliwia osobie atakującej z dostępem do sieci ominięcie uwierzytelnienia w wybranych punktach końcowych API z powodu nieprawidłowej kontroli dostępu.
Podatność Path Traversal w samodzielnie hostowanych instancjach UniFi Network Application umożliwia atakującemu z dostępem do sieci i wysokimi uprawnieniami eskalację uprawnień zapisu na urządzeniu hostującym.
Podatność w aplikacji UniFi Network Application umożliwia atakującemu z dostępem do sieci przeprowadzenie ataku typu Denial of Service (DoS) poprzez niewłaściwą walidację danych wejściowych.
Podatność SQL Injection w systemie UniFi OS umożliwia atakującemu z dostępem do sieci i niskimi uprawnieniami eskalację uprawnień na urządzeniach lub instancjach z tym systemem.
Podatność typu Path Traversal w urządzeniach z systemem UniFi OS umożliwia osobie atakującej z dostępem do sieci ominięcie uwierzytelniania. Luka występuje w określonych urządzeniach lub instancjach działających pod kontrolą UniFi OS.
Podatność SSRF w systemie UniFi OS umożliwia atakującemu z dostępem do sieci i niskimi uprawnieniami eskalację przywilejów na urządzeniu lub w instancji.
Podatność w sterowniku `GFAC_Sys_x64.sys` firmy Little Orbit GFAC wynika z nieprawidłowej walidacji danych. Lokalny atakujący może eskalować uprawnienia do SYSTEM i wykonać dowolny kod w trybie jądra poprzez spreparowane wiadomości wysłane przez port komunikacyjny Minifilter.
Podatność w sterowniku `GFAC_Sys_x64.sys` firmy Little Orbit GFAC umożliwia lokalnemu atakującemu dostęp do uprzywilejowanych funkcji sterownika poprzez port komunikacyjny Minifilter, który nie ma odpowiednich ograniczeń dostępu.
Podatność w luci-app-travelmate i pakiecie travelmate umożliwia eskalację uprawnień. Posiadacz sesji z uprawnieniami do zapisu UCI może ustawić dowolny skrypt i argumenty, które zostaną wykonane jako root przez usługę travelmate. Ograniczenie interfejsu do katalogu /etc/travelmate/*.login jest tylko frontendowe.
Wtyczka WPIDE – File Manager & Code Editor w wersji 3.5.6 i starszych zawiera podatność na nieuwierzytelnione fałszerstwo żądania międzywitrynowego (CSRF). Atakujący może wykorzystać tę lukę do wykonania nieautoryzowanych działań w kontekście administratora witryny.
Wtyczka WP EasyCart dla WordPressa w wersji 5.9.0 i starszych zawiera podatność na wstrzykiwanie SQL przez atrybut 'contributor'. Umożliwia to atakującemu manipulację zapytaniami do bazy danych.
Wtyczka SEOWP w wersji 3.12.2 i starszych zawiera podatność na nieuwierzytelnione fałszerstwo żądania międzywitrynowego (CSRF). Atakujący może nakłonić administratora do wykonania niezamierzonych działań bez jego wiedzy.
Wtyczka ProfileGrid w wersji 5.9.9.7 i starszych zawiera podatność na nieuwierzytelnione fałszerstwo żądania międzywitrynowego (CSRF). Atakujący może nakłonić zalogowanego administratora do wykonania niepożądanych działań bez jego wiedzy.
Wtyczka Permalink Manager dla WooCommerce w wersji 1.0.8.2 i starszych zawiera podatność na fałszerstwo żądania międzywitrynowego (CSRF) bez wymaganego uwierzytelnienia. Atakujący może nakłonić zalogowanego administratora do wykonania niepożądanych działań bez jego wiedzy.
Wtyczka pCloud WP Backup w wersji 2.0.2 i starszych zawiera podatność na fałszowanie żądań międzywitrynowych (CSRF) bez wymaganego uwierzytelnienia. Atakujący może nakłonić administratora do wykonania niezamierzonych działań w panelu administracyjnym WordPressa.
Wtyczka nicen-localize-image w wersji 1.4.9 i starszych zawiera podatność na wstrzykiwanie SQL w komponencie Contributor. Umożliwia to atakującemu manipulację zapytaniami do bazy danych.

