Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-10634
Średnie

Stos TCP Zephyra zawiera podatność use-after-free w funkcji net_tcp_foreach(). Podczas iteracji globalnej listy połączeń, zwolnienie blokady tcp_lock na czas wywołania zwrotnego pozwala współbieżnemu wątkowi na usunięcie i zwolnienie pamięci następnego elementu listy, co prowadzi do dereferencji zwolnionej pamięci. Problem występuje w stosie TCP2 od 2020 roku do wersji v4.4.0 włącznie.

CVE-2025-15659
Średnie

W wersjach Elizaibots <= 1.0.2 występuje podatność na atak Cross Site Scripting (XSS), co może umożliwić atakującym wstrzykiwanie złośliwego kodu do aplikacji.

CVE-2025-15658
Średnie

W wersjach WP Emmet <= 0.3.4 występuje podatność na Cross Site Scripting (XSS), która może być wykorzystana przez administratorów.

CVE-2026-6517
Średnie

Aplikacja Mattermost Desktop w wersjach <=6.1 5.5.13.0 nie ogranicza listy dozwolonych domen, do których przesyłane są poświadczenia NTLM. Umożliwia to każdemu użytkownikowi na serwerze, na którym nie jest włączony proxy obrazów, przechwytywanie poświadczeń innych użytkowników poprzez osadzenie obrazu, który kieruje do zewnętrznego serwera.

CVE-2026-48969
Średnie

Wersje Really Simple SSL do 9.5.9 mają lukę w kontroli dostępu, która może pozwolić subskrybentom na nieautoryzowany dostęp do zasobów.

CVE-2025-64215
Średnie

Brak autoryzacji w StylemixThemes MasterStudy LMS Pro umożliwia dostęp do funkcji, które nie są odpowiednio ograniczone przez listy kontroli dostępu (ACL). Problem dotyczy wersji MasterStudy LMS Pro przed 4.7.16.

CVE-2016-20083
Średnie

Wtyczka WordPress More Fields w wersji 2.1 zawiera podatność na atak typu cross-site request forgery (CSRF), która umożliwia atakującym wykonywanie nieautoryzowanych działań poprzez wyłączenie walidacji tokenów CSRF.

CVE-2016-20082
Średnie

Wtyczka WordPress Abtest zawiera podatność na lokalne włączenie pliku, która pozwala nieautoryzowanym atakującym na dołączenie dowolnych plików poprzez manipulację parametrem akcji. Atakujący mogą wysyłać żądania GET do abtest_admin.php z złośliwymi wartościami akcji, aby dołączyć pliki z katalogu administracyjnego i wykonać dowolny kod.

CVE-2016-20080
Średnie

Wtyczka Brandfolder dla WordPressa w wersji 3.0 i wcześniejszych zawiera podatność na lokalne włączenie pliku w pliku callback.php, co pozwala nieautoryzowanym atakującym na włączenie dowolnych plików poprzez manipulację parametrem wp_abspath.

CVE-2016-20079
ŚrednieEPSS 51%

WordPress Dharma Booking w wersji 2.28.3 i wcześniejszych zawiera podatność na lokalne włączenie plików, która pozwala nieautoryzowanym atakującym na włączenie dowolnych plików poprzez manipulację parametrem gateway. Atakujący mogą dostarczyć ścieżki plików z sekwencjami przechodzenia przez katalogi lub wstrzyknięciem bajtu null do parametru gateway w pliku proccess.php, aby odczytać wrażliwe pliki, takie jak pliki konfiguracyjne i systemowe.

CVE-2016-20078
Średnie

Wtyczka WordPress IMDb Profile Widget w wersji 1.0.8 zawiera podatność na lokalne włączenie pliku, która pozwala nieautoryzowanym atakującym na odczyt dowolnych plików poprzez manipulację parametrem url. Atakujący mogą wykorzystać sekwencje przejścia katalogu w żądaniach GET do pic.php, aby uzyskać dostęp do wrażliwych plików, takich jak wp-config.php, zawierających dane uwierzytelniające do bazy danych oraz dane konfiguracyjne.

CVE-2016-20077
Średnie

Wtyczka WordPress Photocart Link w wersji 1.6 zawiera podatność na lokalne włączenie pliku, która pozwala nieautoryzowanym atakującym na odczyt dowolnych plików poprzez wykorzystanie niewystarczającej walidacji danych wejściowych w pliku decode.php.

CVE-2016-20074
Średnie

Wtyczka WordPress Lazy Content Slider w wersji 3.4 zawiera podatność na atak typu cross-site request forgery (CSRF), która umożliwia atakującym wykonywanie nieautoryzowanych działań poprzez tworzenie złośliwych formularzy HTML.

CVE-2016-20070
Średnie

Wtyczka WordPress Booking Calendar Contact Form w wersji 1.0.23 zawiera luki związane z eskalacją uprawnień oraz przechowywanym skryptowaniem międzywitrynowym (XSS), które pozwalają uwierzytelnionym użytkownikom na modyfikację opcji wtyczki oraz wstrzykiwanie złośliwych skryptów.

CVE-2016-20067
Średnie

WordPress CP Polls w wersji 1.0.8 zawiera podatność na atak typu cross-site request forgery, która pozwala atakującym na wykonywanie nieautoryzowanych działań w imieniu uwierzytelnionych użytkowników. Atakujący mogą stworzyć złośliwe strony HTML, które wykonują niepożądane operacje na ankietach, gdy administratorzy odwiedzają tę stronę będąc zalogowanymi.

CVE-2026-34030
Średnie

Oprogramowanie Wertheim SafeController w wersji 6.15.8328.28014 nieprawidłowo waliduje kod oddziału podczas jego tworzenia. Umożliwia to atakującemu z odpowiednimi uprawnieniami wprowadzenie sekwencji przejścia ścieżki, co może prowadzić do niezamierzonego przechowywania plików.

CVE-2026-34029
Średnie

Oprogramowanie Wertheim SafeController w wersji AssemblyVersion 6.15.8328.28014 zawiera twardo zakodowany klucz kryptograficzny w komponencie SafeSystem.Infrastructure.Security.dll. Atakujący z dostępem do plików aplikacji może przeprowadzić inżynierię wsteczną DLL i odzyskać ten klucz.

CVE-2026-34028
Średnie

Oprogramowanie Wertheim SafeController w wersji AssemblyVersion 6.15.8328.28014 ujawnia ścieżki plików dostępne przez sieć, które nie są chronione przez mechanizm autoryzacji. Nieautoryzowany atakujący może bezpośrednio uzyskać dostęp do punktów końcowych HTTP, aby pobrać pliki z lokalizacji takich jak /Resources/CompanyId_[ID]/Audio/ oraz /SafeData/.

CVE-2026-34027
Średnie

Oprogramowanie Wertheim SafeController w wersji 6.15.8328.28014 zawiera niewystarczającą walidację typu pliku po stronie serwera w punkcie końcowym /safe/contract/uploadcustomdocuments. Aplikacja akceptuje przesyłane pliki na podstawie wartości HTTP Content-Type kontrolowanej przez użytkownika, co pozwala na przesyłanie dowolnych treści plików przez uwierzytelnionego atakującego.

CVE-2026-34025
Średnie

Oprogramowanie Wertheim SafeController w wersji 6.15.8328.28014 zawiera lukę umożliwiającą obejście ograniczeń IP w procesie logowania. Atakujący z ważnymi danymi logowania użytkownika może manipulować nagłówkiem X-Forwarded-For, aby sfałszować adres IP oddziału i uzyskać dostęp do sesji autoryzowanej z nieautoryzowanej lokalizacji sieciowej.

PoprzedniaStrona 125 z 560Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS