Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
Wtyczka RTMKit dla WordPressa jest podatna na błędną autoryzację we wszystkich wersjach do 2.0.7 włącznie. Problem wynika z braku sprawdzenia uprawnień w punkcie końcowym AJAX get_submission_content, co pozwala na dostęp do danych zgłoszeń formularzy przez nieuprawnionych użytkowników.
W oprogramowaniu Optical Disc Archive dla systemu Windows w wersji 5.5.3 i wcześniejszych występuje problem z nieprawidłowymi domyślnymi uprawnieniami. W przypadku wykorzystania tej podatności, możliwe jest wykonanie dowolnego kodu z uprawnieniami SYSTEM.
Wtyczka Static Block dla WordPressa jest podatna na niebezpieczne bezpośrednie odniesienie do obiektów we wszystkich wersjach do 2.2 włącznie. Problem wynika z braku weryfikacji statusu postu oraz uprawnień użytkownika przy użyciu shortcode'a static_block_content().
W systemach Xtensa z włączonymi opcjami CONFIG_USERSPACE i CONFIG_XTENSA_MMU występuje problem z zarządzaniem listą aktywnych domen pamięci. Po zniszczeniu domeny, wskaźnik do niej pozostaje w globalnej liście, co prowadzi do dereferencji wskaźnika NULL lub użycia po zwolnieniu pamięci, co może skutkować uszkodzeniem pamięci tabeli stron.
Nokia SR Linux jest podatny na lokalną eskalację uprawnień z powodu niesanitowanej walidacji formatu. Udana eksploitacja tej podatności może pozwolić uwierzytelnionemu użytkownikowi na wykonywanie dowolnych poleceń z uprawnieniami superużytkownika.
Wtyczka do wideokonferencji Zoom dla WordPressa jest podatna na obejście autoryzacji we wszystkich wersjach do 4.6.7 włącznie. Problem wynika z niewłaściwej weryfikacji uprawnień użytkownika, co pozwala nieautoryzowanym atakującym na uzyskanie klucza API Zoom SDK oraz świeżo podpisanego JWT.
W bibliotece GnuTLS odkryto podatność use-after-free w funkcji `gnutls_pkcs11_token_set_pin`, używanej do zmiany PIN-u Security Officer. Problem występuje, gdy atakujący próbuje zmienić PIN, podając stary PIN jako NULL dla tokena, który nie ma chronionej ścieżki uwierzytelniania.
Wykryto lukę w komponencie MP3 Extractor `tracker-extract-mp3` w GNOME localsearch, która pozwala na przepełnienie bufora. Zdalny atakujący może wykorzystać tę podatność, dostarczając specjalnie przygotowany plik MP3 z nieprawidłowymi tagami ID3.
Wykryto lukę w GNOME localsearch (wcześniej znanym jako tracker-miners) w komponencie MP3 Extractor, która polega na przepełnieniu bufora w stercie. Problem występuje podczas przetwarzania specjalnie przygotowanych plików MP3 zawierających nieprawidłowe tagi ID3v2.3 COMM.
W komponentach `tracker-extract-mp3` GNOME localsearch występuje błąd, który prowadzi do przepełnienia bufora na stercie podczas przetwarzania specjalnie przygotowanych plików MP3. Atakujący może wykorzystać tę podatność, dostarczając złośliwy plik MP3, co skutkuje awarią aplikacji.
W GNOME localsearch (wcześniej znanym jako tracker-miners) MP3 Extractor znaleziono lukę. Podczas przetwarzania specjalnie przygotowanych plików MP3 z tagami ID3v2.4, brak kontroli granic w funkcji `extract_performers_tags` może prowadzić do przepełnienia bufora na stercie.
Nieprawidłowa walidacja hosta w funkcji automatycznego uzupełniania logowania społecznościowego w Devolutions Remote Desktop Manager 2026.2.8 umożliwia atakującemu ujawnienie zapisanych danych logowania społecznościowego poprzez spreparowany punkt wejścia wskazujący na domenę przypominającą dostawcę.
W narzędziu Canon EOS Network Setting Tool w wersji 1.5.0 lub wcześniejszej, domyślna konfiguracja FTP wykorzystuje nieszyfrowany protokół. Może to prowadzić do nieautoryzowanego dostępu do danych przesyłanych przez FTP.
W narzędziu Canon EOS Network Setting Tool w wersji 1.5.0 i wcześniejszych używane są słabe algorytmy kryptograficzne SSH, co może prowadzić do potencjalnych zagrożeń bezpieczeństwa.
W narzędziu Canon EOS Network Setting Tool w wersji 1.5.0 i wcześniejszych zastosowano twardo zakodowane klucze kryptograficzne, co może prowadzić do nieautoryzowanego dostępu do danych.
W narzędziu Canon EOS Network Setting Tool w wersji 1.5.0 lub wcześniejszej występuje niewłaściwa walidacja certyfikatów serwera. Może to prowadzić do ataków typu man-in-the-middle.
W narzędziu Canon EOS Network Setting Tool w wersji 1.5.0 lub wcześniejszej występuje niewłaściwa walidacja kluczy hosta SSH.
Slim to mikro framework PHP, który umożliwia tworzenie prostych aplikacji webowych i API. W wersjach od 4.4.0 do 4.15, jeśli aplikacja używa metod HttpException::setTitle() i/lub setDescription() do wprowadzenia danych pochodzących z niezaufanych źródeł, atakujący może wstrzyknąć dowolny kod HTML/JavaScript, który zostanie wykonany w przeglądarce ofiary.
W Welcart e-Commerce w wersjach do 2.11.28 występuje problem z nieautoryzowanym dostępem, który może prowadzić do naruszenia kontroli dostępu.
W FV Flowplayer Video Player w wersjach poniżej 7.5.51.7212 występuje podatność typu Cross Site Scripting (XSS) dla subskrybentów.

