Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2025-64636
Średnie

Wtyczka Donation Thermometer w wersjach do 2.2.7 zawiera podatność na nieuwierzytelniony, uszkodzony mechanizm kontroli dostępu. Osoba atakująca bez uwierzytelnienia może uzyskać nieautoryzowany dostęp do funkcji wtyczki.

CVE-2025-63079
Średnie

Wtyczka Live Copy Paste dla Elementor w wersji 1.5.3 i niższych zawiera podatność polegającą na nieprawidłowej kontroli dostępu dla współautorów. Umożliwia to użytkownikom z rolą współautora wykonanie nieautoryzowanych działań.

CVE-2025-63078
Średnie

Wtyczka Restaurant Menu by MotoPress w wersji 2.4.11 i starszych zawiera podatność polegającą na złamaniu kontroli dostępu przez subskrybentów. Użytkownicy z rolą subskrybenta mogą uzyskać nieautoryzowany dostęp do funkcji zarządzania menu restauracji.

CVE-2025-63041
Średnie

Wtyczka Forget About Shortcode Buttons w wersji 2.1.3 i niższych zawiera podatność polegającą na nieprawidłowej kontroli dostępu dla współautorów. Osoba z rolą współautora może uzyskać nieautoryzowany dostęp do funkcji, które powinny być zarezerwowane dla wyższych ról.

CVE-2026-57940
Niskie

HTMLy 3.1.1 zawiera podatność na fałszowanie żądań po stronie serwera (SSRF) w funkcji importowania kanałów RSS. Funkcja get_feed() w pliku system/admin/admin.php przekazuje dostarczony przez użytkownika adres URL bezpośrednio do funkcji file_get_contents() bez żadnej walidacji. Uwierzytelniony atakujący z uprawnieniami administratora może wykorzystać tę podatność, wprowadzając spreparowany adres URL (np. http://dnslog.example.com, file:///etc/passwd lub http://169.254.169.254 w kontekście chmurowym) poprzez narzędzia -> Importuj RSS. Serwer następnie wysyła żądanie do kontrolowanego przez atakującego celu.

CVE-2026-57926
Niskie

W JetBrains YouTrack przed wersją 2026.2.16593 mostek websandbox był podatny na atak typu prototype pollution. Podatność ta może pozwolić atakującemu na manipulację prototypem obiektów w środowisku wykonawczym.

CVE-2026-57925
Średnie

W JetBrains YouTrack przed wersją 2026.2.16593 wykryto lukę w kontroli dostępu, która umożliwiała odczytanie zapisanych zapytań i tagów przez nieuprawnionych użytkowników.

CVE-2026-57924
Średnie

W JetBrains YouTrack przed wersją 2026.2.16593 domyślna konfiguracja roli ujawniała nadmierne szczegóły profilu użytkownika.

CVE-2026-57923
Średnie

W JetBrains YouTrack przed wersją 2026.2.16593 wykryto podatność polegającą na nieprawidłowej autoryzacji w punkcie końcowym konfiguracji aplikacji. Umożliwiała ona nieuprawnioną modyfikację ustawień projektu.

CVE-2026-57922
Niskie

W JetBrains YouTrack przed wersją 2026.2.16593 odkryto podatność umożliwiającą ujawnienie ustawień projektu poprzez protokół MCP. Luka ta pozwala nieautoryzowanym użytkownikom na dostęp do wrażliwych konfiguracji projektów.

CVE-2026-57921
Średnie

W JetBrains YouTrack przed wersją 2026.2.16593 wykryto podatność polegającą na nieprawidłowej kontroli dostępu. Umożliwiała ona odczyt prywatnych danych użytkowników za pośrednictwem punktu końcowego szablonów komentarzy.

CVE-2026-53914
Średnie

W JetBrains Kotlin przed wersją 2.4.20 wykryto podatność umożliwiającą wykonanie kodu poprzez niebezpieczną deserializację w metadanych pamięci podręcznej kompilacji (build cache metadata).

CVE-2026-13426
Średnie

Moduł Go Mattermosta github.com/mattermost/mattermost/server/public w wersjach starszych niż v0.1.22 nie waliduje parametrów ścieżki podczas konstruowania tras API. Umożliwia to atakującemu przekierowanie wywołań API do nieprzewidzianych punktów końcowych za pomocą spreparowanych identyfikatorów zawierających komponenty typu path traversal.

CVE-2026-57920
Wysokie

Podatność w Peplink InControl 2 do wersji 2.14.2 przed 2026-06-03 umożliwia ominięcie reguł kontroli dostępu dla niektórych endpointów /rest/o/{orgId} poprzez użycie średnika.

CVE-2026-57915
Wysokie

Podatność w Apache Kerby umożliwia ominięcie sprawdzenia pre-autoryzacji Kerberos poprzez wysłanie pakietu PA-DATA z nierozpoznanym lub nieobsługiwanym typem. Atakujący może uzyskać dostęp bez poprawnego uwierzytelnienia.

CVE-2026-40711
Wysokie

Podatność typu OS Command Injection w modułach Dell Container Storage Modules (csi-powerstore, csi-unity, csi-powerflex, csi-powermax w wersji 2.16.0) pozwala wysoko uprzywilejowanemu atakującemu z dostępem zdalnym na wykonanie dowolnych poleceń systemu operacyjnego.

CVE-2025-64152
Krytyczne

W Apache IoTDB wykryto podatność na path traversal, umożliwiającą dostęp do plików poza ograniczonym katalogiem. Problem dotyczy wersji od 1.0.0 do 1.3.5 oraz od 2.0.0 do 2.0.6.

CVE-2025-55017
Krytyczne

W Apache IoTDB wykryto podatność typu Path Traversal, która pozwala na ominięcie ograniczeń ścieżek dostępu do plików. Problem dotyczy wersji od 2.0.0 do 2.0.6 oraz od 1.0.0 do 1.3.6.

CVE-2026-57914
Średnie

Wysłanie głęboko zagnieżdżonej struktury ASN1 do klienta lub usługi Apache Kerby może spowodować wyjątek StackOverFlow, prowadzący do odmowy usługi (DoS).

CVE-2026-57620
Średnie

Wtyczka Exclusive Addons Elementor dla WordPressa zawiera podatność na trwały atak XSS (Stored Cross-Site Scripting) spowodowaną niewłaściwą neutralizacją danych wejściowych podczas generowania stron. Luka występuje we wszystkich wersjach do 2.7.9.8 włącznie.

PoprzedniaStrona 128 z 4513Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS