Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
Wtyczka Order Notification dla WooCommerce w WordPressie przed wersją 3.6.3 narusza kontrole uprawnień WooCommerce, co pozwala na pełny dostęp do wszystkich nieautoryzowanych żądań. Umożliwia to całkowity dostęp do zasobów sklepu, takich jak produkty, kupony i klienci.
Wykorzystanie po zwolnieniu pamięci w procesie kompozycji w Google Chrome przed wersją 146.0.7680.178 umożliwia zdalnemu atakującemu, który przejął proces renderowania, potencjalne wykonanie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.
W Google Chrome przed wersją 146.0.7680.178 występowała podatność typu use after free w nawigacji, która mogła pozwolić zdalnemu atakującemu, mającemu kontrolę nad procesem renderowania, na potencjalne wykonanie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.
Wykorzystanie po zwolnieniu pamięci w WebView w Google Chrome na Androidzie przed wersją 146.0.7680.178 umożliwia zdalnemu atakującemu, który przejął proces renderowania, potencjalne wykonanie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.
Podatność w RTI Connext Professional związana z niewłaściwym ograniczeniem odniesień do zewnętrznych jednostek XML umożliwia nieautoryzowane powiązania danych oraz eksplozję jednostek zewnętrznych w serializacji danych.
XenForo w wersjach przed 2.3.7 zawiera problem bezpieczeństwa dotyczący kluczy dostępu (Passkeys) dodanych do kont użytkowników. Atakujący może być w stanie naruszyć bezpieczeństwo uwierzytelniania opartego na kluczach dostępu.
SiYuan to system zarządzania wiedzą osobistą. W wersjach przed 3.6.2, złośliwa strona internetowa mogła uzyskać zdalne wykonanie kodu (RCE) na dowolnym komputerze z uruchomionym SiYuan, wykorzystując liberalną politykę CORS do wstrzyknięcia fragmentu JavaScript przez API.
SiYuan to system zarządzania wiedzą osobistą. Przed wersją 3.6.2, atakujący mógł umieścić złośliwy URL w polu mAsse w widoku atrybutów, co prowadziło do przechowywanego XSS, gdy ofiara otworzyła widok Galerii lub Kanban z włączoną opcją „Cover From -> Asset Field”.
Alerta to narzędzie monitorujące. W wersjach przed 9.1.0, API wyszukiwania w ciągu zapytania (q=) było podatne na atak SQL injection poprzez parser zapytań Postgres, który budował klauzule WHERE, interpolując dostarczone przez użytkownika terminy wyszukiwania bezpośrednio do ciągów SQL za pomocą f-stringów. Problem ten został naprawiony w wersji 9.1.0.
Protokół komunikacyjny MAVLink domyślnie nie wymaga uwierzytelnienia kryptograficznego. Gdy podpisywanie wiadomości MAVLink 2.0 nie jest włączone, każda wiadomość, w tym SERIAL_CONTROL, która zapewnia dostęp do interaktywnej powłoki, może być wysyłana przez nieautoryzowaną stronę mającą dostęp do interfejsu MAVLink.
Podatność CVE-2026-30285 w Zora: Post, Trade, Earn Crypto v2.60.0 umożliwia atakującym nadpisanie krytycznych plików wewnętrznych poprzez proces importu plików, co może prowadzić do wykonania dowolnego kodu lub ujawnienia informacji.
W Zefiro Cloud v32.0.2026011614 firmy Funambol, Inc. występuje podatność na nadpisanie dowolnych plików, która pozwala atakującym na nadpisanie krytycznych plików wewnętrznych podczas procesu importu plików. Może to prowadzić do wykonania dowolnego kodu lub ujawnienia informacji.
Podatność w aplikacji NIS Animal Sounds and Ringtones w wersji 1.3.0 umożliwia atakującym nadpisywanie krytycznych plików wewnętrznych poprzez proces importu plików. Może to prowadzić do wykonania dowolnego kodu lub ujawnienia informacji.
Podatność w aplikacji Cast to TV Screen Mirroring v2.2.77 umożliwia nadpisywanie dowolnych plików wewnętrznych poprzez proces importu plików. Może to prowadzić do zdalnego wykonania kodu lub ujawnienia informacji.
Podatność w aplikacji FLY is FUN Aviation Navigation v35.33 umożliwia atakującym nadpisanie dowolnych plików wewnętrznych podczas procesu importu plików, co może prowadzić do wykonania dowolnego kodu lub ujawnienia informacji.
HAPI FHIR to pełna implementacja standardu HL7 FHIR dla interoperacyjności w opiece zdrowotnej w Javie. Przed wersją 6.9.4, usługa walidatora FHIR HTTP udostępniała nieautoryzowany punkt końcowy '/loadIG', który umożliwiał wysyłanie żądań HTTP do adresów URL kontrolowanych przez atakującego.
Wersje 0.3.1 i wcześniejsze narzędzia wenxian, służącego do generowania plików BIBTEX, mają lukę, w której workflow GitHub Actions wykorzystuje niezaufane dane wejściowe z issue_comment.body bezpośrednio w poleceniu powłoki. To może prowadzić do wstrzyknięcia poleceń i wykonania dowolnego kodu na runnerze.
W bibliotece PJSIP przed wersją 2.17 występuje podatność na odczyt poza przydzielonym obszarem pamięci w unpacketizerze RTP VP9, która pojawia się podczas analizy spreparowanych danych Scalability Structure (SS). Niewystarczająca kontrola długości opisu ładunku może prowadzić do odczytów poza przydzielonym buforem ładunku RTP.
MikroORM, TypeScript ORM dla Node.js, zawierał podatność na zanieczyszczenie prototypu w funkcji Utils.merge przed wersjami 6.6.10 i 7.0.6. Funkcja ta nie blokowała specjalnych kluczy, co pozwalało na modyfikację prototypu obiektu JavaScript przez dane kontrolowane przez atakującego.
MikroORM to ORM w TypeScript dla Node.js, oparty na wzorcach Data Mapper, Unit of Work i Identity Map. Przed wersjami 6.6.10 i 7.0.6 występowała podatność na wstrzyknięcie SQL, gdy specjalnie przygotowane obiekty były interpretowane jako fragmenty zapytań SQL.

