Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.15)

CVE-2026-12781
Wysokie

Zidentyfikowano podatność w EaseUS Partition Master do wersji 14.5, dotycząca nieznanej funkcji w bibliotece epmntdrv.sys komponentu Kernel Driver. Manipulacja prowadzi do niewłaściwych kontroli dostępu.

CVE-2026-12780
Wysokie

Wykryto podatność w AOMEI Backupper do wersji 8.3.0, dotycząca nieznanej funkcji w bibliotece amwrtdrv.sys komponentu Kernel Driver. Wykonanie manipulacji może prowadzić do niewłaściwych kontroli dostępu.

CVE-2026-12779
Wysokie

Wykryto podatność w AOMEI Dynamic Disk Manager do wersji 10.10.1, która dotyczy nieznanego przetwarzania w bibliotece ddmdrv.sys komponentu Kernel Driver. Manipulacja tym elementem prowadzi do niewłaściwych kontroli dostępu.

CVE-2026-12778
Wysokie

Wykryto podatność w AOMEI Partition Assistant do wersji 10.10.1, która dotyczy nieznanego kodu w bibliotece ampa10.sys komponentu Kernel Driver. Manipulacja ta prowadzi do niewłaściwych kontroli dostępu.

CVE-2026-12775
Wysokie

Wykryto podatność w Montodel House-Rental-Management, która dotyczy pliku /login.php. Manipulacja argumentem Username prowadzi do wstrzyknięcia SQL, co umożliwia zdalne przeprowadzenie ataku.

CVE-2026-12773
Wysokie

W BerriAI litellm do wersji 1.59.8 wykryto słabość w funkcji UserAPIKeyAuth w pliku user_api_key_auth_mcp.py komponentu MCP Proxy. Manipulacja tą funkcją może prowadzić do nieprawidłowego uwierzytelnienia, co umożliwia zdalny atak. Publicznie udostępniono exploit, który może być wykorzystany w atakach.

CVE-2026-56345
Wysokie

AVideo w wersji do 29.0 zawiera lukę w autoryzacji w punkcie końcowym uploadRecordedVideo.json.php wtyczki Meet, która pozwala na obejście autoryzacji. Atakujący może wykorzystać złośliwy plik z odpowiednią nazwą, aby uzyskać dostęp do sesji dowolnego użytkownika, w tym administratora.

CVE-2026-56341
Wysokie

AVideo w wersji do 26.0 zawiera wiele punktów końcowych list.json.php w wtyczkach płatności, które nie mają kontroli autoryzacji, co prowadzi do ujawnienia tokenów PayPal, webhooków Authorize.Net oraz rekordów transakcji Bitcoin.

CVE-2026-56340
Wysokie

Podatność w vLLM w wersjach od 0.10.2 do 0.12.9 wynika z braku walidacji rzadkich tensorów podczas przetwarzania osadzeń multimodalnych. Atakujący może wysłać spreparowane żądania z nieprawidłowymi indeksami tensorów, powodując awarię, wyczerpanie zasobów lub potencjalne uszkodzenie pamięci.

CVE-2020-37255
Wysokie

Wtyczka WordPress Time Capsule w wersji 1.21.16 zawiera lukę umożliwiającą ominięcie uwierzytelnienia, co pozwala nieautoryzowanym atakującym uzyskać dostęp administracyjny poprzez wysłanie odpowiednio skonstruowanego żądania POST z nagłówkiem IWP_JSON_PREFIX. Atakujący mogą wykorzystać tę lukę do uzyskania ważnych ciasteczek sesyjnych administratora i dostępu do panelu WordPress bez podawania danych uwierzytelniających.

CVE-2026-11912
Wysokie

Wtyczka Simple File List dla WordPressa jest podatna na nieautoryzowaną modyfikację plików z powodu niewystarczających kontroli autoryzacji w wersjach do 6.3.7 włącznie. Umożliwia to nieautoryzowanym atakującym usuwanie i modyfikowanie plików na serwerze.

CVE-2026-11911
WysokieEPSS 51%

Wtyczka Simple File List dla WordPressa jest podatna na nieautoryzowane usuwanie plików z powodu niewystarczającej walidacji ścieżek plików w funkcji eeSFL_DeleteFile we wszystkich wersjach do 6.3.7 włącznie. Umożliwia to nieautoryzowanym atakującym usunięcie dowolnych plików na serwerze.

CVE-2026-9843
Wysokie

Wtyczka Database for Contact Form 7, WPforms, Elementor forms dla WordPressa jest podatna na usuwanie dowolnych plików z powodu niewystarczającej walidacji ścieżek plików w funkcji view_page we wszystkich wersjach do i włącznie z 1.5.1. Umożliwia to nieautoryzowanym atakującym usuwanie dowolnych plików na serwerze.

CVE-2026-56216
Wysokie

Capgo w wersjach przed 12.128.2 zawiera podatność na eskalację zakresu w punkcie końcowym POST /functions/v1/apikey, która pozwala na generowanie nieograniczonych kluczy API przez klucze z ograniczeniami aplikacji poprzez ustawienie pustych limitów.

CVE-2026-56215
Wysokie

Capgo w wersjach przed 12.128.12 pozwala uwierzytelnionym użytkownikom na modyfikację swojego adresu e-mail public.users.email na dowolny adres. Punkt końcowy SSO, który obsługuje przydzielanie użytkowników, ufa temu adresowi jako kluczowi do łączenia kont.

CVE-2026-56214
Wysokie

Capgo w wersjach przed 12.128.2 zawiera podatność na ujawnienie informacji w punktach końcowych Supabase PostgREST RPC is_trial_org i is_paying_org, która pozwala nieautoryzowanym atakującym na enumerację organizacji oraz ujawnienie statusu płatności przy użyciu publicznego klucza sb_publishable.

CVE-2026-56082
Wysokie

Capgo przed wersją 12.128.2 zawiera podatność na niewłaściwą kontrolę dostępu w funkcji RPC PostgREST public.record_build_time, która jest dostępna dla roli anon i może być wywoływana za pomocą publicznego klucza anon. Atakujący bez uwierzytelnienia może wstawiać wiersze do public.build_logs dla dowolnych organizacji, co pozwala na modyfikację istniejących rekordów użycia/billingu.

CVE-2026-50559
Wysokie

W Quarkusie, frameworku Java do budowania aplikacji natywnych w chmurze, stwierdzono podatność umożliwiającą ominięcie autoryzacji opartej na ścieżkach HTTP. Atakujący może użyć zakodowanych średników (%3B), aby przemycić parametry macierzowe, oraz zakodowanych ukośników (%2F) lub odwrotnych ukośników (%5C), aby uzyskać dostęp do chronionych zasobów statycznych.

CVE-2026-49346
Wysokie

W bibliotece libde265 przed wersją 1.1.0 odkryto podatność polegającą na przepełnieniu liczby całkowitej ze znakiem w funkcji `de265_image_get_buffer()`. Specjalnie spreparowany strumień H.265 z dużymi wymiarami SPS i 16-bitową głębią kolorów powoduje, że alokacja pamięci dla płaszczyzny obrazu jest zawijana do małej wartości (~1 KB), podczas gdy późniejsze wywołanie `fill_image()` zapisuje do niej około 4 GB danych, co prowadzi do przepełnienia bufora sterty.

CVE-2026-49295
Wysokie

Podatność w bibliotece libde265 (implementacja kodeka H.265) przed wersją 1.0.20 umożliwia zapis poza zakresem tablicy podczas przetwarzania spreparowanego strumienia bitów H.265. Brakuje weryfikacji łącznej liczby przewidywanych wpisów zestawu obrazów referencyjnych krótkoterminowych, co może prowadzić do zapisu poza 16-elementową tablicą.

PoprzedniaStrona 141 z 3409Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS