Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-12404
Średnie

Wtyczka NEX-Forms dla WordPressa do wersji 9.2.2 włącznie zawiera podatność na pominięcie autoryzacji. Niezalogowani atakujący mogą wyliczyć sekwencyjne identyfikatory raportów i pobrać pełne dane przesłanych formularzy, w tym nazwiska, adresy e-mail, numery telefonów, adresy pocztowe, dane płatności i ścieżki przesłanych plików.

CVE-2026-10820
Wysokie

Wtyczka Paid Membership Plugin, Ecommerce, User Registration Form, Login Form, User Profile & Restrict Content dla WordPress przed wersją 4.16.17 nie weryfikuje, czy użytkownik wykonujący akcję subskrypcji jest jej właścicielem. Umożliwia to każdemu uwierzytelnionemu użytkownikowi (od roli Subskrybent wzwyż) anulowanie aktywnych subskrypcji innych użytkowników poprzez niebezpieczne bezpośrednie odwołanie do obiektu (IDOR).

CVE-2026-12415
Krytyczne

Wtyczka Invoice Generator dla WordPressa do wersji 1.0.0 włącznie zawiera lukę umożliwiającą eskalację uprawnień. Brak weryfikacji uprawnień w akcji AJAX pravel_invoice_edit_account() pozwala nieuwierzytelnionym atakującym na zmianę adresu e-mail dowolnego użytkownika, w tym administratora, a następnie wykorzystanie mechanizmu resetowania hasła do przejęcia konta.

CVE-2026-13422
Średnie

Wtyczka HD Quiz dla WordPressa w wersjach od 2.2.0 do 2.2.1 jest podatna na ataki Cross-Site Request Forgery (CSRF) z powodu braku lub nieprawidłowej walidacji tokena nonce w funkcji hdq_validate_nonce. Niezautoryzowany atakujący może wykorzystać tę lukę do usuwania lub modyfikowania quizów i pytań, tworzenia nowych quizów oraz zmiany ustawień wtyczki, pod warunkiem że nakłoni administratora witryny do wykonania akcji, np. kliknięcia w link.

CVE-2026-13335
Średnie

Wtyczka Post Map for Google Maps dla WordPressa do wersji 1.2.6 włącznie zawiera podatność na trwałe ataki XSS poprzez pole 'cpm_point' Post Meta. Wynika to z niedostatecznego oczyszczania danych wejściowych i braku odpowiedniego kodowania wyjścia.

CVE-2026-13333
Średnie

Wtyczka Groundhogg dla WordPressa (wersje do 4.5.5) zawiera podatność na ogólne wstrzykiwanie SQL przez parametr 'query[select]'. Brak odpowiedniego escapowania i przygotowania zapytań SQL umożliwia uwierzytelnionym atakującym z dostępem na poziomie przedstawiciela handlowego lub wyższym do dołączania dodatkowych zapytań SQL, co może prowadzić do wycieku wrażliwych danych z bazy.

CVE-2026-13331
Średnie

Wtyczka Groundhogg dla WordPressa (CRM, newslettery i automatyzacja marketingu) w wersjach do 4.5.5 włącznie zawiera podatność na ogólne wstrzykiwanie SQL przez parametr 'search'. Problem wynika z niedostatecznego escapowania danych wejściowych i braku odpowiedniego przygotowania zapytań SQL.

CVE-2026-11356
Średnie

Wtyczka Ivory Search dla WordPressa do wersji 5.5.15 włącznie jest podatna na trwałe ataki XSS przez parametry 'menu_title' i 'menu_magnifier_color'. Luka wynika z niedostatecznego oczyszczania danych wejściowych i braku odpowiedniego kodowania wyjścia.

CVE-2025-59868
Średnie

Podatność w HCL Traveler for Microsoft Outlook (HTMO) umożliwia nieautoryzowany dostęp do wrażliwych danych aplikacji, co może zostać wykorzystane przez atakującego do przeprowadzenia dalszych ataków i wywołania nieprzewidzianego zachowania aplikacji.

CVE-2023-37524
Wysokie

HCL Traveler dla Microsoft Outlook (HTMO) jest podatny na zagrożenia z powodu korzystania z .NET Framework 4.5, który osiągnął koniec wsparcia i nie otrzymuje już aktualizacji bezpieczeństwa. Może to narazić aplikację na publicznie znane słabości bezpieczeństwa poprzez podatne komponenty firm trzecich.

CVE-2026-56414
Wysokie

Podatność w kamerach IP H.View umożliwia uwierzytelnionym użytkownikom przesyłanie dowolnych plików do stałych lokalizacji w systemie plików bez walidacji typu, struktury lub rozmiaru. Może to prowadzić do umieszczenia nieoczekiwanych lub zniekształconych danych w miejscach przeznaczonych dla zaufanych certyfikatów, co wpływa na integralność systemu nawet po restarcie.

CVE-2026-55975
Wysokie

Podatność w kamerach IP H.View umożliwia uwierzytelnionemu użytkownikowi wstrzyknięcie niesprawdzonych danych XML do interfejsu generowania certyfikatów. Dane te są następnie wykorzystywane w poleceniu tworzenia certyfikatu bez odpowiedniej walidacji, co może prowadzić do wykonania kodu z podwyższonymi uprawnieniami.

CVE-2026-33560
Wysokie

Usługa plików DMP-5000 udostępnia uwierzytelnioną funkcję przesyłania plików bez walidacji. Brak filtrowania rozszerzeń i kontroli treści umożliwia przesyłanie plików wykonywalnych i skryptów.

CVE-2026-31928
Wysokie

Urządzenia DMP-5000 są dostarczane z domyślnym kontem administracyjnym sieci web, które ma słabe mechanizmy uwierzytelniania i nie wymaga zmiany podczas początkowej konfiguracji ani eksploatacji. Użycie tych kont zapewnia pełny dostęp do systemu.

CVE-2026-28701
KrytyczneEPSS 53%

Podatność w oprogramowaniu układowym sterowników Daktronics umożliwia zdalnym użytkownikom (zarówno uwierzytelnionym, jak i nieuwierzytelnionym) opuszczenie zamierzonego katalogu i wyliczanie dowolnych ścieżek systemu plików.

CVE-2026-55069
Wysokie

Podatność w komponencie BasicAuth platformy Kestra OSS przed wersją 1.3.24 umożliwia atakującemu z dostępem do bazy PostgreSQL odzyskanie hasła administratora offline dzięki szybkości obliczeniowej SHA-512. W środowiskach Kubernetes pozwala to na eskalację uprawnień do odczytu tokena ServiceAccount i wszystkich sekretów klastra.

CVE-2026-53577
Średnie

W Kestra przed wersjami 1.0.45 i 1.3.21 endpoint previewFileFromExecution (GET /api/v1/{tenant}/executions/{executionId}/file/preview) zawiera obejście kontroli dostępu, umożliwiając każdemu uwierzytelnionemu użytkownikowi odczyt plików wyjściowych z dowolnego wykonania w obrębie tego samego dzierżawcy, z pominięciem izolacji na poziomie wykonania i przestrzeni nazw.

CVE-2026-53576
Krytyczne

W Kestra przed wersjami 1.0.45 i 1.3.21 filtr uwierzytelniania REST API pomija sprawdzanie poświadczeń dla żądań kończących się na '/configs'. Niezalogowany atakujący może wykorzystać to do tworzenia przepływów z zadaniami Shell lub Process, które wykonują się jako root w kontenerze, a przez zamontowany /var/run/docker.sock uzyskują dostęp do demona Dockera na hoście.

CVE-2026-50767
Średnie

W systemie Koha Library Management System w wersjach od 0 do 25.11 wykryto podatność na trwały atak XSS. Umożliwia ona uwierzytelnionemu zdalnemu atakującemu z uprawnieniami administratora wstrzyknięcie dowolnego skryptu przez pole komunikatu przy odbiorze typu egzemplarza.

CVE-2026-50766
Średnie

W systemie Koha Library Management System w wersjach od 0 do 25.11 wykryto podatność na trwałe cross-site scripting (XSS) na stronie szczegółów egzemplarza w module OPAC. Uwierzytelniony atakujący z uprawnieniami edit_items może wstrzyknąć dowolny kod JavaScript poprzez pole publicznych notatek egzemplarza (items.itemnotes).

PoprzedniaStrona 154 z 4563Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS