Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-13568
Wysokie

W systemie SourceCodester Inventory Management System 1.0 wykryto podatność w pliku /api/users_handler.php w komponencie User Registration Endpoint. Manipulacja argumentem role prowadzi do nieprawidłowej kontroli dostępu, co umożliwia zdalne wykorzystanie luki.

CVE-2026-13567
Średnie

W projekcie code-projects Online Music Site 1.0 odkryto podatność na atak XSS w pliku /Frontend/Feedback.php. Manipulacja argumentami fname, femail, faddress lub fmessage umożliwia zdalne wstrzyknięcie złośliwego skryptu.

CVE-2026-13566
Wysokie

W systemie SourceCodester Class and Exam Timetabling System 1.0 wykryto podatność SQL injection w pliku /preview3.php. Atakujący może zdalnie manipulować argumentem course_year_section, co prowadzi do wstrzyknięcia kodu SQL. Exploit jest publicznie dostępny.

CVE-2026-13565
Wysokie

W systemie SourceCodester Class and Exam Timetabling System 1.0 w pliku /edit_class1.php występuje podatność na wstrzyknięcie SQL poprzez manipulację argumentem ID. Atak może być przeprowadzony zdalnie, a exploit został publicznie ujawniony.

CVE-2026-13165
Wysokie

Podatność w SzafirHost umożliwia atakującemu wstrzyknięcie złośliwej biblioteki natywnej do archiwum JAR, które jest podpisywane i weryfikowane. Weryfikacja podpisu używa parsera JarFile (czytającego Central Directory), podczas gdy ekstrakcja używa JarInputStream (czytającego sekwencyjnie z lokalnych nagłówków plików). Atakujący może dodać wpis z biblioteką między ostatnim legalnym wpisem a Central Directory, który nie jest widziany przez weryfikatora podpisu, ale jest odczytywany i zapisywany przez ekstraktor, co prowadzi do zdalnego wykonania kodu.

CVE-2026-12856
Wysokie

W rozszerzeniu vscode-java dla Visual Studio Code wykryto podatność polegającą na nieprawidłowym ufaniu całej treści Markdown w oknach podpowiedzi JavaDoc. Złośliwy plik Java może ukryć polecenia, a kliknięcie przez użytkownika specjalnie spreparowanego linku w podpowiedzi JavaDoc umożliwia atakującemu wykonanie dowolnych poleceń VS Code.

CVE-2026-12616
Średnie

Podatność w punkcie końcowym /v1/upload/sbom pozwala nieuwierzytelnionemu atakującemu na wstrzyknięcie fałszywych wpisów do logów poprzez manipulację polem iss w tokenie JWT. Ze względu na wyłączoną weryfikację podpisu JWT oraz dosłowne renderowanie znaków nowej linii w formacie logów, atakujący może wygenerować wpisy identyczne z autentycznymi komunikatami o pomyślnym uwierzytelnieniu.

CVE-2026-11979
Wysokie

W narzędziu xmlcatalog biblioteki libxml2 wykryto wiele przepełnień bufora na stosie w trybie --shell. Funkcja usershell() przetwarza dane wejściowe użytkownika przy użyciu buforów o stałym rozmiarze bez odpowiedniego sprawdzania granic. Dostarczenie zbyt długiego wiersza wejściowego może przepełnić bufory wewnętrzne (command, arg i argv) podczas parsowania danych.

CVE-2026-41992
Wysokie

GNU gzip zawiera podatność na przepełnienie bufora globalnego w logice dekompresji LZH, spowodowaną niewłaściwym ponownym użyciem współdzielonego stanu globalnego między różnymi formatami dekompresji w ramach jednego wykonania. Poprzez dekompresję specjalnie spreparowanego pliku LZW, a następnie pliku LZH w jednym poleceniu gzip -d, atakujący może zatruć współdzielony stan globalny i wywołać odczyt poza zakresem w dekoderze LZH.

CVE-2026-41991
Średnie

GNU gzip zawiera podatność w narzędziu gzexe związaną z niebezpiecznym tworzeniem plików tymczasowych. Gdy narzędzie mktemp nie jest dostępne w ścieżce PATH użytkownika, gzexe tworzy plik tymczasowy o przewidywalnej nazwie opartej wyłącznie na PID procesu, bez sprawdzania jego istnienia lub wyłączności dostępu. Lokalny atakujący może wcześniej utworzyć tę ścieżkę jako dowiązanie symboliczne do dowolnego pliku zapisywalnego przez ofiarę, co prowadzi do nadpisania pliku w wyniku warunku TOCTOU.

CVE-2026-13564
Wysokie

W urządzeniu Edimax EW-7478APC w wersji 1.04 odkryto podatność przepełnienia bufora stosu w funkcji formPPPoESetup pliku /goform/formPPPoESetup. Atakujący może zdalnie manipulować argumentem pppUserName, co prowadzi do przepełnienia bufora. Exploit został opublikowany i może być wykorzystany.

CVE-2026-13563
Wysokie

W urządzeniu Edimax EW-7478APC w wersji 1.04 odkryto podatność polegającą na przepełnieniu bufora stosu w funkcji formL2TPSetup. Atakujący może zdalnie manipulować argumentem L2TPUserName, co prowadzi do przepełnienia bufora. Exploit został upubliczniony, a producent nie odpowiedział na zgłoszenie.

CVE-2026-13562
Wysokie

W urządzeniu Edimax EW-7478APC w wersji 1.04 odkryto podatność na przepełnienie bufora w funkcji formiNICSiteSurvey pliku /goform/formiNICSiteSurvey. Manipulacja argumentem selSSID umożliwia zdalne wykonanie ataku. Exploit został opublikowany i może być wykorzystany.

CVE-2026-13561
Średnie

W urządzeniu Edimax EW-7478APC w wersji 1.04 wykryto podatność na wstrzykiwanie poleceń systemu operacyjnego. Problem występuje w funkcji formiNICbasic w pliku /goform/formiNICbasic, gdzie argument rootAPmac jest nieprawidłowo filtrowany. Atak może być przeprowadzony zdalnie, a exploit jest publicznie dostępny.

CVE-2026-13560
ŚrednieEPSS 63%

W urządzeniu Edimax EW-7478APC w wersji 1.04 wykryto podatność polegającą na wstrzykiwaniu poleceń systemu operacyjnego. Problem występuje w funkcji formAccept pliku /goform/formAccept w komponencie POST Request Handler, gdzie argument submit-url jest nieprawidłowo filtrowany. Atak może być przeprowadzony zdalnie, a exploit został już opublikowany.

CVE-2026-13559
Wysokie

W systemie Real State Services 1.0 wykryto podatność na wstrzykiwanie SQL w pliku /single-list_sale.php?action=add. Manipulacja argumentem ID umożliwia zdalne wykonanie ataku. Exploit został opublikowany, co zwiększa ryzyko wykorzystania.

CVE-2026-13558
Niskie

W systemie CodeAstro Complaint Management System 1.0 wykryto podatność na atak XSS (Cross-Site Scripting) w komponencie Report Handler. Problem występuje podczas przetwarzania pliku /report/addreport, gdzie manipulacja argumentem Report Title umożliwia wstrzyknięcie złośliwego skryptu. Atak może być przeprowadzony zdalnie, a exploit został upubliczniony.

CVE-2026-57346
Wysokie

Wtyczka Embed Privacy dla WordPressa zawiera podatność na path traversal, która pozwala atakującemu na dostęp do plików poza ograniczonym katalogiem. Problem dotyczy wersji od 1.0.0 do 1.12.3.

CVE-2026-25707
Wysokie

Podatność w libzypp przed wersją 17.38.10 umożliwia zdalnym atakującym nadpisywanie plików systemowych poprzez błąd względnej ścieżki podczas przetwarzania metadanych repozytorium. Może to prowadzić do odmowy usługi lub eskalacji uprawnień.

CVE-2026-13601
Wysokie

W Yelp wykryto podatność spowodowaną zbyt liberalną polityką bezpieczeństwa treści (CSP) w bibliotece yelp-xsl. Złośliwa aplikacja Flatpak może otworzyć spreparowaną pomoc przez portal OpenURI, a osadzenie niezaufanego arkusza CSS w dokumentach SVG pozwala ominąć izolację sandboksową Flatpaka. Umożliwia to Yelp odczytywanie lokalnych plików XML i ujawnianie dowolnych plików hosta przez zdalne żądania CSS.

PoprzedniaStrona 148 z 4564Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS