Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
Wtyczka WP Google Review Slider w wersjach do 18.0 zawiera podatność na nieautoryzowany atak Cross Site Scripting (XSS). Atakujący może wykorzystać tę lukę do wstrzykiwania złośliwego kodu JavaScript.
W Rank Math SEO w wersjach do 1.0.271 występuje problem z kontrolą dostępu, który może umożliwić nieautoryzowanym użytkownikom dostęp do funkcji subskrypcyjnych.
W wersjach Essential Addons for Elementor poniżej 6.6.0 występuje nieautoryzowany błąd kontroli dostępu.
W wersjach Bookify do 1.1.1 występuje problem z kontrolą dostępu, który może pozwolić subskrybentom na nieautoryzowany dostęp do zasobów.
Wersje bunny.net do 2.3.6 zawierają lukę w kontroli dostępu, która może pozwolić subskrybentom na nieautoryzowany dostęp do zasobów.
Wersje PopAd do 1.0.4 zawierają podatność typu Server Side Request Forgery (SSRF), która może być wykorzystana przez atakującego do wysyłania nieautoryzowanych żądań z serwera.
W GStreamerze zidentyfikowano wiele podatności związanych z odczytem poza granicami bufora w elemencie pcapparse. Złośliwe rekordy PCAP mogą powodować odczyty poza granicami bufora podczas analizy nagłówków IPv4/TCP.
W GStreamer, w parserze kodeka AV1 w pakiecie gst-plugins-bad, znaleziono podatność na odmowę usługi. Funkcja gst_av1_parser_parse_tile_list_obu() przekazuje liczbę bajtów do API czytnika bitów, które oczekuje liczby bitów, co powoduje desynchronizację parsera. Zdalny atakujący może nakłonić użytkownika do otwarcia specjalnie spreparowanego pliku AV1, wywołując asercję i crash aplikacji.
W Nginx Proxy Manager v2.14.0 występuje nieprawidłowa kontrola dostępu w punkcie pobierania certyfikatów 'Let's Encrypt', co pozwala uwierzytelnionym atakującym na uzyskanie prywatnych kluczy TLS za pomocą spreparowanego żądania GET.
W podatności XSS w Deck9 Input v2.0.1, atakujący mogą wykonywać dowolne skrypty webowe lub HTML za pomocą odpowiednio przygotowanego ładunku.
Discuz! X5.0 w wersjach od 20260320 do 20260610 zawiera podatność na obejście CAPTCHA, która pozwala nieautoryzowanym zdalnym atakującym na pokonanie kontroli wyzwań poprzez wykorzystanie ograniczonej złożoności i przewidywalnych zestawów znaków w generowanych obrazach CAPTCHA.
Wersja v0.54.0 oprogramowania Datadog, Inc Vector zawiera problem w punkcie końcowym /util/http/prelude.rs, który umożliwia atakującym wywołanie Denial of Service (DoS) poprzez spreparowane żądanie lub ładunek.
Ruoyi w wersji 4.8.2 jest podatny na atak Cross Site Scripting (XSS) w interfejsie /system/notice/add.
W urządzeniu Boyleep K11 z firmwarem y108 w wersji 2.3.0.11291 występuje problem, który pozwala atakującemu w bliskiej odległości na wykonanie dowolnego kodu za pomocą funkcji testowej fabryki.
PublicCMS V5.202506.d zawiera podatność typu Cross Site Scripting (XSS) w module zarządzania konfiguracją strony.
W Kiro IDE na macOS i Linux przed wersją 0.11.133 występują nieprawidłowe domyślne uprawnienia, które mogą ujawniać plik pamięci podręcznej tokenów uwierzytelniających innym lokalnym użytkownikom lub procesom. Uprawnienia do pliku są ustawione na 0644 zamiast 0600.
W wersji 10.3.0 Roy Marples NetworkConfiguration/dhcpcd występuje dereferencja wskaźnika NULL podczas analizy opcji konfiguracyjnych. Błąd ten występuje w funkcji parse_option(), gdy nieoczekiwany lub nieprawidłowy token opcji powoduje, że wyszukiwanie zwraca NULL.
W funkcji Track_SetStreamDescriptor w GPAC MP4Box v2.4 występuje naruszenie segmentacji, które pozwala atakującym na wywołanie ataku typu Denial of Service (DoS) poprzez dostarczenie spreparowanego pliku MP4.
W komponentach parsera strumieni audio Opus w GPAC MP4Box v2.4 występuje przepełnienie bufora na stercie, które może być wykorzystane przez atakujących do wywołania Denial of Service (DoS) poprzez dostarczenie spreparowanego pliku MP4.
W funkcji gf_opus_read_length w GPAC MP4Box v2.4 występuje przepełnienie stosu, które pozwala atakującym na wywołanie Denial of Service (DoS) poprzez dostarczenie spreparowanego pliku MP4.

