Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-33640
Krytyczne

Outline to usługa umożliwiająca współpracę nad dokumentacją. W wersjach od 0.86.0 do 1.6.0, Outline nie unieważnia kodów OTP na podstawie liczby lub częstotliwości nieprawidłowych prób, co pozwala na obejście ograniczeń i umożliwia ataki brute force na konta użytkowników.

CVE-2026-33152
Krytyczne

Tandoor Recipes to aplikacja do zarządzania przepisami, planowania posiłków i tworzenia list zakupów. W wersjach przed 2.6.0, aplikacja konfiguruje Django REST Framework z BasicAuthentication jako jednym z domyślnych mechanizmów uwierzytelniania, co pozwala na ataki typu brute force bez ograniczeń.

CVE-2026-30458
Krytyczne

Podatność w FuelCMS v1.5.2 umożliwia atakującym przechwycenie tokenów resetowania haseł użytkowników poprzez atak polegający na dzieleniu wiadomości e-mail (mail splitting).

CVE-2026-30457
Krytyczne

Podatność w komponencie /parser/dwoo w FuelCMS v1.5.2 umożliwia atakującym wykonanie dowolnego kodu PHP poprzez spreparowane dane wejściowe.

CVE-2026-26213
Krytyczne

Wersje oprogramowania thingino-firmware do wydania firmware-2026-03-16 zawierają podatność na wstrzykiwanie poleceń systemowych bez uwierzytelnienia w skrypcie CGI portalu WiFi. Umożliwia to zdalnym atakującym wykonywanie dowolnych poleceń jako root poprzez wstrzykiwanie złośliwego kodu przez niesanitizowane nazwy parametrów HTTP.

CVE-2026-33494
Krytyczne

ORY Oathkeeper to proxy tożsamości i dostępów, który autoryzuje żądania HTTP na podstawie zestawów reguł dostępu. Wersje przed 26.2.0 są podatne na obejście autoryzacji poprzez przejście ścieżki HTTP, co pozwala atakującemu na skonstruowanie URL-a, który może uzyskać dostęp do chronionej ścieżki.

CVE-2026-27816
Krytyczne

EVerest to oprogramowanie do ładowania pojazdów elektrycznych. W wersjach przed 2026.02.0, funkcja ISO15118_chargerImpl::handle_update_energy_transfer_modes kopiuje listę o zmiennej długości do tablicy o stałej długości 6 bez sprawdzania granic, co może prowadzić do nadpisania pamięci i awarii procesu.

CVE-2026-27815
Krytyczne

EVerest to oprogramowanie do ładowania pojazdów elektrycznych. W wersjach przed 2026.02.0, funkcja ISO15118_chargerImpl::handle_session_setup kopiuje listę opcji płatności o zmiennej długości do tablicy o stałej długości 2 bez sprawdzania granic, co może prowadzić do zapisów poza przydzieloną pamięcią.

CVE-2026-33396
Krytyczne

OneUptime to platforma monitorowania i obserwowalności typu open-source. Przed wersją 10.0.35, użytkownik z niskimi uprawnieniami (ProjectMember) mógł zdalnie wykonać polecenia na kontenerze/gospodarzu Probe, wykorzystując wykonanie skryptu Synthetic Monitor Playwright. Wersja 10.0.35 zawiera poprawkę.

CVE-2026-4809
Krytyczne

Pakiet plank/laravel-mediable w wersji do 6.4.0 pozwala na przesyłanie niebezpiecznych typów plików, gdy aplikacja akceptuje lub preferuje typ MIME dostarczony przez klienta. To może prowadzić do przesyłania plików zawierających wykonawczy kod PHP, co skutkuje możliwością zdalnego wykonania kodu.

CVE-2014-125112
Krytyczne

Wersje Plack::Middleware::Session::Cookie do 0.21 dla Perla mają podatność, która umożliwia zdalne wykonanie kodu. Atakujący może wykonać dowolny kod na serwerze podczas deserializacji danych cookie, gdy nie użyto sekretu do podpisania cookie.

CVE-2026-33942
Krytyczne

Saloon to biblioteka PHP, która umożliwia użytkownikom budowanie integracji API i SDK. W wersjach przed 4.0.0 używano funkcji unserialize() w metodzie AccessTokenAuthenticator::unserialize() do przywracania stanu tokena OAuth z pamięci podręcznej lub magazynu, co stwarza ryzyko wstrzyknięcia obiektów.

CVE-2026-33183
Krytyczne

Saloon to biblioteka PHP, która umożliwia użytkownikom budowanie integracji API i SDK. W wersjach przed 4.0.0, nazwy fixture były używane do budowania ścieżek plików w skonfigurowanym katalogu fixture bez walidacji, co prowadziło do podatności na traversję ścieżek.

CVE-2025-70888
Krytyczne

Problem w mtrojnar Osslsigncode w wersji 2.10 i wcześniejszych umożliwia zdalnemu atakującemu eskalację uprawnień poprzez komponent osslsigncode.c.

CVE-2026-32573
Krytyczne

W podatności CVE-2026-32573 występuje niewłaściwa kontrola generowania kodu, co prowadzi do możliwości wstrzyknięcia kodu w oprogramowaniu Nelio AB Testing w wersjach od n/a do 8.2.7. Problem ten może umożliwić atakującym wykonanie nieautoryzowanego kodu.

CVE-2026-32539
Krytyczne

W podatności CVE-2026-32539 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do ataku typu Blind SQL Injection w wtyczce PublishPress Revisions. Problem dotyczy wersji od n/a do 3.7.23 włącznie.

CVE-2026-32536
Krytyczne

Podatność CVE-2026-32536 dotyczy nieograniczonego przesyłania plików o niebezpiecznych typach w aplikacji halfdata Green Downloads, co pozwala na wykorzystanie złośliwych plików. Problem ten dotyczy wersji Green Downloads od n/a do 2.08 włącznie.

CVE-2026-32525
Krytyczne

Podatność CVE-2026-32525 dotyczy niewłaściwej kontroli generowania kodu w JetFormBuilder, co umożliwia wstrzykiwanie kodu. Problem ten dotyczy wersji JetFormBuilder od n/a do 3.5.6.1.

CVE-2026-32524
Krytyczne

Podatność CVE-2026-32524 dotyczy silnika zdjęć Jordy Meow Photo Engine, umożliwiając nieograniczone przesyłanie plików o niebezpiecznym typie, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji Photo Engine od n/a do 6.4.9 włącznie.

CVE-2026-32523
Krytyczne

Podatność CVE-2026-32523 dotyczy WPJAM Basic, umożliwiając nieograniczone przesyłanie plików o niebezpiecznych typach. Problem ten występuje w wersjach od n/a do 6.9.2.

PoprzedniaStrona 130 z 562Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS