Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
Wtyczka Iptanus File Upload dla WordPress przed wersją 5.1.7 nie implementuje prawidłowego zarządzania plikami, gdy ustawienie duplicatepolicy jest skonfigurowane na "zachowaj oba". Z powodu warunku wyścigu TOCTOU między sprawdzeniem istnienia pliku a faktyczną operacją zapisu, uwierzytelniony atakujący może nadpisać pliki przesłane przez innych użytkowników.
W OpenStack Ironic przed wersją 37.0.1, podczas stosowania PATCH do aktualizacji pól w właściwościach woluminu, do których użytkownik ma uprawnienia, Ironic może zwrócić nieprzetworzone informacje wrażliwe, takie jak dane uwierzytelniające iSCSI.
W systemie oceniania automatycznego CET z analityką predykcyjną AI 1.0 odkryto podatność. Manipulacja argumentem 'action' w pliku /index.php prowadzi do ataku typu cross-site scripting (XSS).
W systemie zarządzania frekwencją uczniów CodeAstro w wersji 1.0 zidentyfikowano podatność, która umożliwia wstrzyknięcie SQL poprzez manipulację argumentem admissionNumber w pliku /attendance-php/Admin/createStudents.php.
Wtyczka Meow Gallery dla WordPressa jest podatna na nieautoryzowaną modyfikację danych z powodu braku sprawdzenia uprawnień na końcówce REST API /wp-json/meow-gallery/v1/save_shortcode we wszystkich wersjach do 5.4.4 włącznie. Umożliwia to atakującym z poziomem dostępu Author i wyżej dowolne tworzenie lub nadpisywanie istniejących rekordów shortcode galerii.
Wtyczka Canvas dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez parametr 'tag' we wszystkich wersjach do 2.5.2 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia.
Wtyczka Page Builder: Pagelayer dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez blok Anchor w wersjach do 2.0.9 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia.
Wtyczka Pagelayer do WordPressa jest podatna na błędną autoryzację we wszystkich wersjach do 2.0.9. Umożliwia to atakującym z poziomem dostępu Contributor i wyżej konfigurowanie dowolnych szablonów formularzy kontaktowych, które mogą być używane przez nieautoryzowane przesyłanie formularzy.
Wtyczka FooGallery dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez parametr shortcode 'custom_attribute_key' w wersjach do 3.1.31 włącznie. Problem wynika z niekompletnej czarnej listy atrybutów zdarzeń JavaScript w funkcji foogallery_sanitize_javascript().
W skryptach obsługi zdarzeń po utworzeniu raportu w bibliotece libreport wykryto podatność na wstrzykiwanie treści. Skrypt odczytuje dziennik systemd w poszukiwaniu wpisów pasujących do procesu, który uległ awarii, i zapisuje wyniki do plików w katalogu zrzutu bez oczyszczania osadzonych znaków sterujących. Lokalny użytkownik może wstrzyknąć dowolną treść do wyjścia dziennika, osadzając znaki nowej linii w komunikatach syslog, kontrolując w ten sposób treść, którą root zapisuje do plików w katalogu zrzutu.
Wtyczka LWS Optimize – All-in-One Speed Booster & Cache Tools dla WordPressa jest podatna na nieautoryzowane odczyty plików w wersjach do 3.3.19 włącznie. Problem wynika z funkcji combine_current_css(), która nieprawidłowo przetwarza wartości <link rel="stylesheet" href="...">, co pozwala na odczyt dowolnych plików.
Podatność w Allegra umożliwia zdalnym atakującym wykonanie dowolnego skryptu na zainfekowanych instalacjach poprzez metodę downloadAttachment. Wymagana jest interakcja użytkownika, aby wykorzystać tę podatność, co oznacza, że ofiara musi odwiedzić złośliwą stronę lub otworzyć złośliwy plik.
Podatność w Allegra dotycząca metody exportReport umożliwia atakującym zdalne ujawnienie wrażliwych informacji. Wymagana jest autoryzacja, aby wykorzystać tę podatność.
W MISP występuje luka autoryzacji w obsłudze dodawania/edycji obiektów, która pozwala uwierzytelnionemu użytkownikowi z uprawnieniami do edycji obiektów przypisać obiekt MISP lub jego atrybuty do grupy udostępniania, do której nie ma uprawnień. Walidacja grupy udostępniania jest wykonywana na niewłaściwej strukturze danych, co umożliwia obejście tego sprawdzenia.
Capgo w wersjach przed 12.128.2 nie usuwa wcześniej przesłanych obrazów profilu z pamięci zapasowej, gdy użytkownicy je zastępują lub usuwają. Atakujący mogą uzyskać dostęp do osieroconych plików obrazów za pomocą wcześniej wygenerowanych adresów URL.
OpenClaw w wersjach przed 2026.5.7 zawiera podatność na walidację nazw hostów w punktach końcowych retry, co pozwala na dopasowywanie prefiksów nazw hostów zamiast dokładnych nazw. Atakujący mogą wykorzystać tę lukę, tworząc prefiks nazwy hosta przypominający zaufany host, aby wysłać materiały uwierzytelniające do niezaufanych punktów końcowych.
OpenClaw przed wersją 2026.5.6 zawiera lukę w wymuszaniu konfiguracji w powiązaniach dynamicznych agentów Feishu, która pozwala uwierzytelnionym nadawcom na tworzenie lub aktualizowanie powiązań bez przestrzegania skonfigurowanych kontroli zapisu konfiguracji.
OpenClaw przed wersją 2026.4.22 zawiera lukę umożliwiającą obejście unieważnienia sekretu webhooka, co pozwala na aktywność starych sekretów webhooka Slack i Zalo po wywołaniu secrets.reload. Atakujący mogą wykorzystać ten czas, aby dostarczać zdarzenia webhooka po oczekiwanym unieważnieniu sekretu przez operatora.
OpenClaw w wersjach przed 2026.5.2 zawiera podatność na ujawnienie poświadczeń w przekazywaniu message.action, co pozwala na przesyłanie ładunków akcji z poświadczeniami bramy do dostarczonych przez atakującego adresów URL pętli zwrotnej. Atakujący zdalnie mogą przechwytywać tokeny bramy i ładunki akcji, dostarczając złośliwe cele pętli zwrotnej przez metadane akcji kontrolowane przez model.
OpenClaw w wersjach przed 2026.4.26 zawiera podatność na ujawnienie informacji w procesie uruchamiania sesji w piaskownicy, co pozwala na ujawnienie rzeczywistej ścieżki roboczej do podprocesów. Atakujący mogą wykorzystać tę podatność, uruchamiając sesje podrzędne z rodziców w piaskownicy, aby ujawnić lokalizację hosta lub związany kontekst pamięci.

