Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-39451
Średnie

Wtyczka WP Google Review Slider w wersjach do 18.0 zawiera podatność na nieautoryzowany atak Cross Site Scripting (XSS). Atakujący może wykorzystać tę lukę do wstrzykiwania złośliwego kodu JavaScript.

CVE-2026-34892
Średnie

W Rank Math SEO w wersjach do 1.0.271 występuje problem z kontrolą dostępu, który może umożliwić nieautoryzowanym użytkownikom dostęp do funkcji subskrypcyjnych.

CVE-2026-25440
Średnie

W wersjach Essential Addons for Elementor poniżej 6.6.0 występuje nieautoryzowany błąd kontroli dostępu.

CVE-2025-69332
Średnie

W wersjach Bookify do 1.1.1 występuje problem z kontrolą dostępu, który może pozwolić subskrybentom na nieautoryzowany dostęp do zasobów.

CVE-2025-68049
Średnie

Wersje bunny.net do 2.3.6 zawierają lukę w kontroli dostępu, która może pozwolić subskrybentom na nieautoryzowany dostęp do zasobów.

CVE-2025-60175
Średnie

Wersje PopAd do 1.0.4 zawierają podatność typu Server Side Request Forgery (SSRF), która może być wykorzystana przez atakującego do wysyłania nieautoryzowanych żądań z serwera.

CVE-2026-52721
Średnie

W GStreamerze zidentyfikowano wiele podatności związanych z odczytem poza granicami bufora w elemencie pcapparse. Złośliwe rekordy PCAP mogą powodować odczyty poza granicami bufora podczas analizy nagłówków IPv4/TCP.

CVE-2026-52718
Średnie

W GStreamer, w parserze kodeka AV1 w pakiecie gst-plugins-bad, znaleziono podatność na odmowę usługi. Funkcja gst_av1_parser_parse_tile_list_obu() przekazuje liczbę bajtów do API czytnika bitów, które oczekuje liczby bitów, co powoduje desynchronizację parsera. Zdalny atakujący może nakłonić użytkownika do otwarcia specjalnie spreparowanego pliku AV1, wywołując asercję i crash aplikacji.

CVE-2026-50892
Średnie

W Nginx Proxy Manager v2.14.0 występuje nieprawidłowa kontrola dostępu w punkcie pobierania certyfikatów 'Let's Encrypt', co pozwala uwierzytelnionym atakującym na uzyskanie prywatnych kluczy TLS za pomocą spreparowanego żądania GET.

CVE-2026-50876
Średnie

W podatności XSS w Deck9 Input v2.0.1, atakujący mogą wykonywać dowolne skrypty webowe lub HTML za pomocą odpowiednio przygotowanego ładunku.

CVE-2026-49953
Średnie

Discuz! X5.0 w wersjach od 20260320 do 20260610 zawiera podatność na obejście CAPTCHA, która pozwala nieautoryzowanym zdalnym atakującym na pokonanie kontroli wyzwań poprzez wykorzystanie ograniczonej złożoności i przewidywalnych zestawów znaków w generowanych obrazach CAPTCHA.

CVE-2026-39197
Średnie

Wersja v0.54.0 oprogramowania Datadog, Inc Vector zawiera problem w punkcie końcowym /util/http/prelude.rs, który umożliwia atakującym wywołanie Denial of Service (DoS) poprzez spreparowane żądanie lub ładunek.

CVE-2026-37216
Średnie

Ruoyi w wersji 4.8.2 jest podatny na atak Cross Site Scripting (XSS) w interfejsie /system/notice/add.

CVE-2026-36933
Średnie

W urządzeniu Boyleep K11 z firmwarem y108 w wersji 2.3.0.11291 występuje problem, który pozwala atakującemu w bliskiej odległości na wykonanie dowolnego kodu za pomocą funkcji testowej fabryki.

CVE-2026-36521
Średnie

PublicCMS V5.202506.d zawiera podatność typu Cross Site Scripting (XSS) w module zarządzania konfiguracją strony.

CVE-2026-11931
Średnie

W Kiro IDE na macOS i Linux przed wersją 0.11.133 występują nieprawidłowe domyślne uprawnienia, które mogą ujawniać plik pamięci podręcznej tokenów uwierzytelniających innym lokalnym użytkownikom lub procesom. Uprawnienia do pliku są ustawione na 0644 zamiast 0600.

CVE-2025-70102
Średnie

W wersji 10.3.0 Roy Marples NetworkConfiguration/dhcpcd występuje dereferencja wskaźnika NULL podczas analizy opcji konfiguracyjnych. Błąd ten występuje w funkcji parse_option(), gdy nieoczekiwany lub nieprawidłowy token opcji powoduje, że wyszukiwanie zwraca NULL.

CVE-2025-55663
Średnie

W funkcji Track_SetStreamDescriptor w GPAC MP4Box v2.4 występuje naruszenie segmentacji, które pozwala atakującym na wywołanie ataku typu Denial of Service (DoS) poprzez dostarczenie spreparowanego pliku MP4.

CVE-2025-55661
Średnie

W komponentach parsera strumieni audio Opus w GPAC MP4Box v2.4 występuje przepełnienie bufora na stercie, które może być wykorzystane przez atakujących do wywołania Denial of Service (DoS) poprzez dostarczenie spreparowanego pliku MP4.

CVE-2025-55660
Średnie

W funkcji gf_opus_read_length w GPAC MP4Box v2.4 występuje przepełnienie stosu, które pozwala atakującym na wywołanie Denial of Service (DoS) poprzez dostarczenie spreparowanego pliku MP4.

PoprzedniaStrona 123 z 560Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS