Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2019-25646
Krytyczne

Tabs Mail Carrier w wersji 2.5.1 zawiera podatność na przepełnienie bufora w komendzie MAIL FROM SMTP, co pozwala zdalnym atakującym na wykonanie dowolnego kodu poprzez wysłanie spreparowanego parametru MAIL FROM. Atakujący mogą połączyć się z usługą SMTP na porcie 25 i wysłać złośliwą komendę MAIL FROM z nadmiernym buforem.

CVE-2019-25628
Krytyczne

Download Accelerator Plus DAP w wersji 10.0.6.0 zawiera podatność na przepełnienie bufora w obsłudze wyjątków, która umożliwia zdalnym atakującym wykonanie dowolnego kodu poprzez stworzenie złośliwych adresów URL. Atakujący mogą stworzyć specjalnie przygotowane adresy URL z danymi przepełniającymi bufor, które nadpisują wskaźniki SEH i wykonują osadzony kod powłoki.

CVE-2026-4755
Krytyczne

Podatność CWE-20 w MolotovCherry Android-ImageMagick7 dotyczy wersji przed 7.1.2-11. Problem ten może prowadzić do nieprawidłowego przetwarzania danych wejściowych.

CVE-2026-4753
Krytyczne

Podatność typu Out-of-bounds Read w slajerku RetroDebugger, która występuje w wersjach przed v0.64.72.

CVE-2026-4750
Krytyczne

Podatność typu Out-of-bounds Read występuje w fabiangreffrath woof przed wersją woof_15.3.0. Może to prowadzić do nieautoryzowanego odczytu pamięci.

CVE-2026-4283
Krytyczne

Wtyczka WP DSGVO Tools (GDPR) dla WordPressa jest podatna na nieautoryzowane usuwanie kont we wszystkich wersjach do i włącznie z 3.1.38. Problem wynika z akcji AJAX `super-unsubscribe`, która akceptuje parametr `process_now` od nieautoryzowanych użytkowników, omijając proces potwierdzenia e-mailem i natychmiastowo wywołując nieodwracalną anonimizację konta.

CVE-2026-4739
Krytyczne

W podatności CVE-2026-4739 występuje przepełnienie lub owinięcie liczb całkowitych w module Expat w ITK przed wersją 2.7.1. Może to prowadzić do nieprzewidzianego zachowania aplikacji.

CVE-2026-4001
Krytyczne

Wtyczka Woocommerce Custom Product Addons Pro dla WordPressa jest podatna na zdalne wykonanie kodu we wszystkich wersjach do 5.4.1 włącznie. Problem wynika z niewystarczającej sanitizacji i walidacji wartości pól przesyłanych przez użytkowników przed ich przekazaniem do funkcji eval() w PHP.

CVE-2026-33286
Krytyczne

Graphiti to framework, który udostępnia modele za pomocą interfejsu zgodnego z JSON:API. W wersjach przed 1.10.2 występuje podatność na wykonanie dowolnej metody, która wpływa na funkcjonalność zapisu JSONAPI, umożliwiając atakującemu wywołanie publicznych metod na instancjach modeli.

CVE-2026-33211
Krytyczne

Podatność w resolverze git Tekton Pipelines umożliwia odczyt dowolnych plików z systemu plików resolwera poprzez parametr `pathInRepo`. Atakujący z uprawnieniami do tworzenia `ResolutionRequests` może uzyskać dostęp do tokenów kont serwisowych i innych poufnych danych.

CVE-2026-33195
Krytyczne

Podatność w Active Storage umożliwia atak typu path traversal przez nieprawidłową walidację ścieżki w `DiskService#path_for`. Jeśli klucz blob zawiera sekwencje `../`, atakujący może odczytywać, zapisywać lub usuwać dowolne pliki na serwerze.

CVE-2026-32913
Krytyczne

OpenClaw przed wersją 2026.3.7 zawiera podatność na niewłaściwą walidację nagłówków w funkcji fetchWithSsrFGuard, która przekazuje niestandardowe nagłówki autoryzacji przez przekierowania między różnymi źródłami. Atakujący mogą wywołać przekierowania do innych źródeł, aby przechwycić wrażliwe nagłówki, takie jak X-Api-Key i Private-Token, przeznaczone dla oryginalnego celu.

CVE-2025-60949
Krytyczne

Census CSWeb w wersji 8.0.1 umożliwia dostęp do katalogu 'app/config' przez HTTP w niektórych wdrożeniach. Zdalny, nieautoryzowany atakujący może wysyłać żądania do plików konfiguracyjnych i uzyskać wyciekłe sekrety.

CVE-2026-3055
Krytyczne

Niewystarczająca walidacja danych wejściowych w NetScaler ADC i NetScaler Gateway, gdy są skonfigurowane jako SAML IDP, prowadzi do nadmiernego odczytu pamięci.

CVE-2026-30849
Krytyczne

Mantis Bug Tracker (MantisBT) w wersjach przed 2.28.1, działających na bazach danych rodziny MySQL, ma podatność na obejście uwierzytelniania w API SOAP z powodu niewłaściwego sprawdzania typu parametru hasła. Atakujący, znając nazwę użytkownika ofiary, może zalogować się do API SOAP bez znajomości hasła i wykonać dowolną funkcję API, do której ma dostęp.

CVE-2026-2298
Krytyczne

Podatność CVE-2026-2298 dotyczy niewłaściwej neutralizacji ograniczników argumentów w poleceniach, co prowadzi do możliwości manipulacji protokołem usług internetowych w Salesforce Marketing Cloud Engagement. Problem ten dotyczy wersji przed 30 stycznia 2026 roku.

CVE-2026-33716
Krytyczne

WWBN AVideo to otwartoźródłowa platforma wideo. W wersjach do 26.0, punkt końcowy kontroli transmisji na żywo `plugin/Live/standAloneFiles/control.json.php` akceptuje parametr `streamerURL`, który pozwala na przekierowanie żądań weryfikacji tokenów do serwera kontrolowanego przez atakującego, co umożliwia całkowite ominięcie uwierzytelnienia.

CVE-2026-33502
Krytyczne

AVideo to otwartoźródłowa platforma wideo. W wersjach do 26.0 włącznie występuje podatność typu server-side request forgery w pliku `plugin/Live/test.php`, która pozwala nieautoryzowanym użytkownikom zdalnym na wysyłanie żądań HTTP do dowolnych adresów URL.

CVE-2026-4404
Krytyczne

W wersji 2.15.0 i wcześniejszych GoHarbor Harbor występuje problem z użyciem twardo zakodowanych poświadczeń, co pozwala atakującym na wykorzystanie domyślnego hasła i uzyskanie dostępu do interfejsu webowego.

CVE-2026-33478
Krytyczne

AVideo to otwartoźródłowa platforma wideo, w której wersjach do 26.0 występuje wiele podatności w wtyczce CloneSite, umożliwiających nieautoryzowanemu atakującemu zdalne wykonanie kodu. Punkt końcowy `clones.json.php` ujawnia klucze tajne klonów bez autoryzacji, co pozwala na zrzut całej bazy danych zawierającej hashe haseł administratorów w formacie MD5.

PoprzedniaStrona 135 z 562Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS