Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2025-13476
Krytyczne

Tryb Cloak aplikacji Rakuten Viber w wersji Android v25.7.2.0g oraz Windows v25.6.0.0–v25.8.1.0 wykorzystuje statyczny i przewidywalny odcisk palca TLS ClientHello, który nie zapewnia różnorodności rozszerzeń. To umożliwia systemom Deep Packet Inspection (DPI) łatwe identyfikowanie i blokowanie ruchu proxy, co podważa możliwości omijania cenzury.

CVE-2026-30793
Krytyczne

Podatność typu Cross-Site Request Forgery (CSRF) w kliencie RustDesk umożliwia eskalację uprawnień. Dotyczy to plików programowych oraz modułów mostków FFI w systemach Windows, MacOS, Linux, iOS i Android.

CVE-2026-30789
Krytyczne

Podatność w kliencie RustDesk pozwala na ataki typu brute force na hasła z powodu niewystarczającego wysiłku obliczeniowego przy haszowaniu oraz niewłaściwego ograniczenia nadmiernych prób uwierzytelnienia. Mechanizm uwierzytelniania oparty na SHA256 nie wykorzystuje funkcji wolnej do generacji kluczy, co umożliwia atakującym odzyskanie hasła offline.

CVE-2026-30783
Krytyczne

Podatność w kliencie RustDesk umożliwia nadużycie uprawnień na różnych platformach, w tym Windows, MacOS, Linux, iOS, Android oraz WebClient. Dotyczy to modułów związanych z zarządzaniem konfiguracją oraz pętlą synchronizacji API.

CVE-2026-2599
Krytyczne

Wtyczka Database for Contact Form 7, WPforms, Elementor forms dla WordPressa jest podatna na wstrzyknięcie obiektów PHP we wszystkich wersjach do i włącznie z 1.4.7 poprzez deserializację nieufnych danych wejściowych w funkcji 'download_csv'. Umożliwia to nieautoryzowanym atakującym wstrzyknięcie obiektu PHP.

CVE-2026-21628
Krytyczne

Funkcja zarządzania plikami, która nie jest odpowiednio zabezpieczona, pozwala na przesyłanie niebezpiecznych typów danych przez użytkowników nieautoryzowanych, co prowadzi do zdalnego wykonania kodu.

CVE-2026-2743
Krytyczne

Podatność umożliwia nieautoryzowane zapisanie pliku poprzez atak typu Path Traversal, co może prowadzić do zdalnego wykonania kodu w interfejsie użytkownika SeppMail. Problem dotyczy funkcji transferu dużych plików (LFT).

CVE-2026-28536
Krytyczne

Podatność na obejście uwierzytelniania w module uwierzytelniania urządzenia. Skuteczne wykorzystanie tej podatności wpłynie na integralność i poufność danych.

CVE-2026-1678
Krytyczne

Funkcja dns_unpack_name() buforuje miejsce na końcu bufora i ponownie je wykorzystuje podczas dodawania etykiet DNS. W miarę wzrostu bufora, rozmiar buforu staje się niepoprawny, co może prowadzić do zapisu po zakończeniu bufora.

CVE-2026-2418
Krytyczne

Wtyczka Login with Salesforce dla WordPressa w wersji do 1.0.2 nie weryfikuje, czy użytkownicy mają prawo logować się przez Salesforce. Umożliwia to nieautoryzowanym użytkownikom uzyskanie dostępu jako dowolny użytkownik (np. administrator) jedynie na podstawie znajomości adresu e-mail.

CVE-2026-29128
Krytyczne

Oprogramowanie układowe odbiornika satelitarnego IDC SFX2100 zawiera wiele plików konfiguracyjnych demonów, które są własnością roota, ale są dostępne do odczytu dla wszystkich. Pliki konfiguracyjne zawierają twardo zakodowane lub w inny sposób niebezpieczne hasła w postaci tekstu jawnego, w tym dane uwierzytelniające do trybu uprzywilejowanego.

CVE-2026-28115
Krytyczne

W systemie WP Attractive Donations System - Easy Stripe & Paypal donations występuje podatność na SQL Injection, która pozwala na przeprowadzenie Blind SQL Injection. Problem ten dotyczy wersji od n/a do 1.25 włącznie.

CVE-2026-28114
Krytyczne

Podatność CVE-2026-28114 dotyczy menedżera licencji WooCommerce, który pozwala na nieograniczone przesyłanie plików o niebezpiecznym typie. Umożliwia to przesłanie powłoki sieciowej na serwer WWW, co stanowi poważne zagrożenie dla bezpieczeństwa.

CVE-2026-28105
Krytyczne

Podatność CVE-2026-28105 dotyczy deserializacji niezaufanych danych w wtyczce ThemeREX Good Energy, co pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji Good Energy od n/a do 1.7.7 włącznie.

CVE-2026-28074
Krytyczne

Podatność na deserializację niezaufanych danych w ThemeREX Pizza House pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji Pizza House od n/a do 1.4.0 włącznie.

CVE-2026-28043
Krytyczne

Podatność CVE-2026-28043 dotyczy niewłaściwej kontroli nazw plików w instrukcjach include/require w programie PHP, co prowadzi do lokalnego włączenia plików PHP w motywie WordPress ThemeREX Healer - Doctor, Clinic & Medical. Problem ten dotyczy wersji motywu od n/a do 1.0.0.

CVE-2026-27984
Krytyczne

W podatności CVE-2026-27984 występuje niewłaściwa kontrola generowania kodu, co pozwala na wstrzyknięcie kodu w widgecie Marketing Fire Widget Options. Problem dotyczy wersji Widget Options od n/a do 4.1.3 włącznie.

CVE-2026-27983
Krytyczne

Podatność związana z nieprawidłowym przypisaniem uprawnień w designthemes LMS Elementor Pro umożliwia eskalację uprawnień. Problem ten dotyczy wersji LMS Elementor Pro od n/a do 1.0.4 włącznie.

CVE-2026-27439
Krytyczne

Podatność na deserializację niezaufanych danych w ThemeREX Dentario umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji Dentario od n/a do 1.5 włącznie.

CVE-2026-27438
Krytyczne

Podatność na deserializację niezaufanych danych w ThemeREX Kingler umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji Kingler od n/a do 1.7 włącznie.

PoprzedniaStrona 152 z 562Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS