Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-45408
Krytyczne

Podatność w Dokku przed wersją 0.38.2 pozwala na zdalne wykonanie kodu przez uwierzytelnionego użytkownika. Walidacja nazwy aplikacji przepuszcza znaki specjalne powłoki, które są następnie wstawiane bez cytowania do skryptu git hook, co umożliwia wykonanie dowolnych poleceń jako użytkownik dokku.

CVE-2026-45406
Krytyczne

Dokku przed wersją 0.38.2 zawiera podatność w pluginie openresty-vhosts, która pozwala na wykonanie dowolnych poleceń na hoście jako użytkownik dokku. Problem wynika z nieprawidłowego interpolowania nazw plików z katalogu openresty/http-includes/ repozytorium git aplikacji do pojedynczo cytowanego łańcucha powłoki, który jest następnie przetwarzany przez eval. Nazwa pliku zawierająca apostrof przełamuje cytowanie i umożliwia podstawienie poleceń.

CVE-2026-45405
Krytyczne

Podatność w Dokku przed wersją 0.38.2 pozwala atakującemu na zapis dowolnych plików w systemie poprzez wykorzystanie poleceń git:from-archive i certs:add. Atakujący może dostarczyć spreparowane archiwum tar/zip, które zawiera dowiązania symboliczne, co umożliwia nadpisanie pliku ~/.ssh/authorized_keys i uzyskanie nieograniczonego dostępu do powłoki.

CVE-2026-0685
Krytyczne

Podatność polegająca na wstrzykiwaniu kodu po stronie serwera (SSTI) w komponencie oceny wyrażeń silnika szablonów Genshi w wersji 0.7.9 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu (RCE) poprzez spreparowane wyrażenia w szablonie.

CVE-2025-11919
Krytyczne

Podatność w domyślnej maszynie JVM umożliwia dostęp do plików i katalogów w `/tmp/`, w tym do katalogów tymczasowych innych użytkowników na tym samym instancji chmurowej. Atakujący mający dostęp do współdzielonego `/tmp/` może przed uruchomieniem JVM ofiary utworzyć lub podmienić pliki `.jar` lub katalogi (poprzez plik `-init`), które zostaną załadowane jako pierwsze w classpath. W rezultacie może dojść do wykonania złośliwego kodu podczas startu JVM.

CVE-2026-57658
Krytyczne

Podatność umożliwia administratorowi dowolne przesyłanie plików w systemie TemplateSpare w wersjach do 4.2.0 włącznie. Atakujący z uprawnieniami administratora może wgrać złośliwy plik na serwer.

CVE-2026-56070
Krytyczne

Wtyczka Advance Product Search w wersji 1.4.4 i starszych zawiera podatność na nieuwierzytelnione wstrzykiwanie SQL. Atakujący może wysyłać specjalnie spreparowane zapytania, aby wykonać dowolne polecenia SQL na bazie danych.

CVE-2026-56068
Krytyczne

Wtyczka JetEngine dla WordPressa w wersji 3.8.10.2 i starszych zawiera podatność na wstrzykiwanie SQL, którą może wykorzystać nieuwierzytelniony atakujący. Podatność ta pozwala na wykonanie nieautoryzowanych zapytań do bazy danych.

CVE-2026-56067
Krytyczne

Wtyczka JetSmartFilters w wersjach do 3.8.3 zawiera podatność na wstrzykiwanie SQL, którą może wykorzystać niezautoryzowany atakujący. Luka umożliwia wykonanie dowolnych zapytań SQL na bazie danych.

CVE-2026-56062
Krytyczne

Nieuwierzytelniona podatność na wstrzykiwanie SQL w wtyczce Quotes llama w wersjach do 3.1.5. Atakujący bez autoryzacji może wykonać dowolne zapytania SQL.

CVE-2026-56059
Krytyczne

We wtyczce Travel Booking w wersji 2.2.5 i starszych wykryto podatność umożliwiającą użytkownikowi z rolą subskrybenta przesyłanie dowolnych plików na serwer. Luka ta może zostać wykorzystana do wgrania złośliwego oprogramowania.

CVE-2026-56058
Krytyczne

Podatność wtyczki Quform w wersjach do 2.23.0 umożliwia użytkownikowi z rolą subskrybenta przesyłanie dowolnych plików na serwer. Atakujący może wykorzystać tę lukę do wgrania złośliwego pliku, co może prowadzić do przejęcia kontroli nad witryną.

CVE-2026-56057
Krytyczne

Podatność wtyczki Uncanny Automator Pro w wersji 7.3.0.6 i starszych umożliwia wstrzyknięcie obiektów PHP przez użytkownika z rolą Subscriber. Atakujący może zdalnie wykonać niebezpieczny kod na serwerze.

CVE-2026-56036
Krytyczne

Nieuwierzytelniona podatność na wstrzykiwanie SQL w wtyczce WordPress 결제 심플페이 w wersjach do 5.5.6. Atakujący bez uwierzytelnienia może wykonać dowolne zapytania SQL.

CVE-2026-56034
Krytyczne

W systemie Library Management System w wersji 3.5.7 i starszych występuje podatność na wstrzykiwanie SQL (SQL Injection) bez wymaganego uwierzytelnienia. Atakujący może zdalnie wykonać dowolne zapytania SQL, co prowadzi do nieautoryzowanego dostępu do bazy danych.

CVE-2026-56033
Krytyczne

Podatność w wtyczce Dokan Pro w wersji 5.0.4 i starszych umożliwia nieuwierzytelnionemu atakującemu eskalację uprawnień. Oznacza to, że osoba bez ważnego konta może uzyskać wyższe uprawnienia w systemie.

CVE-2026-56032
Krytyczne

Podatność wtyczki Buddyboss Platform w wersjach do 3.0.4 umożliwia użytkownikom z rolą subskrybenta wstrzyknięcie obiektów PHP. Atakujący może wykorzystać tę lukę do zdalnego wykonania kodu na serwerze.

CVE-2026-56030
Krytyczne

Podatność w wtyczce Paytium w wersjach do 5.0.2 umożliwia nieuwierzytelnionemu atakującemu eskalację uprawnień. Oznacza to, że osoba bez ważnego konta może uzyskać wyższe uprawnienia w systemie.

CVE-2026-56028
Krytyczne

Wtyczka Easy Elements dla Elementora w wersji 1.4.9 i starszych zawiera lukę umożliwiającą nieuwierzytelnionemu atakującemu eskalację uprawnień. Podatność ta wynika z braku odpowiedniego sprawdzenia uprawnień w mechanizmie wtyczki.

CVE-2026-56027
Krytyczne

Wtyczka Booster for WooCommerce w wersji 8.0.1 i starszych umożliwia nieautoryzowane przesyłanie dowolnych plików przez klienta. Podatność ta może zostać wykorzystana do wgrania złośliwego oprogramowania na serwer.

PoprzedniaStrona 14 z 556Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS