Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-47352
Średnie

Użytkownicy backendowi z odpowiednimi uprawnieniami mogli uzyskać dostęp do metadanych plików za pomocą kilku tras API Backend bez odpowiednich kontroli uprawnień, co pozwalało na dostęp do plików poza dozwolonymi montażami lub magazynami plików.

CVE-2026-47351
Średnie

Użytkownicy backendu mogli wprowadzać dowolne rekordy i pliki do schowka TYPO3 bez odpowiednich kontroli uprawnień do odczytu, co umożliwiało im zbieranie informacji o rekordach i plikach, do których nie mieli uprawnień.

CVE-2026-47350
Średnie

Użytkownicy backendu mogli przenosić rekordy na inną stronę bez posiadania uprawnień do edycji na stronie źródłowej. Problem ten dotyczy wersji TYPO3 CMS od 13.0.0 do 13.4.31 oraz od 14.0.0 do 14.3.3.

CVE-2026-47349
Średnie

Użytkownicy backendu z dostępem do modułu Recycler mogli przywracać miękko usunięte rekordy na stronach lub w tabelach, do których nie mieli uprawnień do modyfikacji. Problem ten dotyczy wersji TYPO3 CMS przed 10.4.57, 11.0.0-11.5.51, 12.0.0-12.4.46, 13.0.0-13.4.31 oraz 14.0.0-14.3.3.

CVE-2026-47348
Średnie

Edytorzy z dostępem do tworzenia lub modyfikacji treści stron mogli wprowadzać znaczniki HTML w tytułach stron, które były przechowywane w indeksie wyszukiwania bez sanitizacji. W rezultacie, tytuły te były wyświetlane w wynikach wyszukiwania bez odpowiedniego kodowania, co prowadziło do podatności na Cross-Site Scripting.

CVE-2026-47347
Średnie

Aplikacje wykorzystujące GeneralUtility::sanitizeLocalUrl do zezwalania tylko na lokalne adresy URL są podatne na ataki typu open redirect, jeśli adres URL jest używany po przejściu przez wspomniane kontrole sanitizacji. Umożliwia to atakującym przekierowywanie użytkowników do zewnętrznych treści i przeprowadzanie ataków phishingowych.

CVE-2026-52902
Średnie

W awxkit, narzędziu CLI dla AWX, odkryto podatność na przejście ścieżki. Dyrektywa YAML !include nie sanitizuje ścieżek plików, co pozwala atakującemu na stworzenie złośliwego pliku YAML, który może odczytać dowolne pliki w formacie YAML z lokalnego systemu plików podczas importu przez użytkownika.

CVE-2026-4058
Średnie

Wtyczka User Frontend: AI Powered Frontend Posting, User Directory, Profile, Membership & User Registration dla WordPressa jest podatna na nieautoryzowaną modyfikację danych z powodu braku sprawdzenia uprawnień w funkcji user_subscription_cancel(). To umożliwia uwierzytelnionym atakującym, posiadającym dostęp na poziomie Subskrybenta lub wyższym, anulowanie subskrypcji dowolnego użytkownika, w tym administratorów.

CVE-2026-46747
Średnie

Zidentyfikowano podatność w SINEC INS (wszystkie wersje < V1.0 SP2 Update 6), która nieprawidłowo sanitizuje dane wejściowe ścieżki w punkcie końcowym `GET /api/sftp/uploadFiles`. Umożliwia to atak typu path traversal, co pozwala na dostęp do niezamierzonych lokalizacji systemu plików.

CVE-2025-40808
Średnie

Zidentyfikowano podatność w urządzeniach SIPROTEC 5, która pozwala uwierzytelnionym użytkownikom na przesyłanie dowolnych plików za pomocą protokołu DIGSI 5. Może to prowadzić do przesyłania złośliwych plików konfiguracyjnych, co może skutkować odmową usługi oraz potencjalnym wykonaniem kodu.

CVE-2026-8677
Średnie

Wtyczka Prime Elementor Addons dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez ustawienia tagów HTML widgetów w wersjach do 1.3.3 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia.

CVE-2026-8599
Średnie

Wtyczka MailerPress – Email Marketing, Newsletter, Email Automation & WooCommerce Emails dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting poprzez pole HTML treści kampanii w wersjach do 2.0.4 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie autora i wyżej wstrzykiwanie dowolnych skryptów webowych na stronach, które będą wykonywane przy każdym dostępie użytkownika do wstrzykniętej strony.

CVE-2026-7542
Średnie

Wtyczka Slider Revolution dla WordPressa jest podatna na ujawnienie wrażliwych informacji w wersjach od 7.0 do 7.0.10. Problemy projektowe umożliwiają atakującym z poziomem dostępu Subskrybenta i wyżej odczytanie zawartości plików serwera poprzez ich skopiowanie do publicznie dostępnego URL.

CVE-2026-6899
Średnie

W bibliotece S2OPC w opakowaniu kryptograficznym CycloneCrypto sprawdzanie unieważnienia certyfikatu uwzględnia tylko pierwszy pasujący CRL, ignorując inne ważne CRL tego samego CA. Może to pozwolić na nawiązanie połączenia między klientem a serwerem OPC UA z użyciem unieważnionego certyfikatu.

CVE-2026-49818
Średnie

Dostawca Samba w Apache Airflow zawierał błąd w `GCSToSambaOperator`, który łączył nazwy obiektów GCS z ścieżką docelową SMB bez sprawdzenia ograniczeń. Atakujący mógł wykorzystać segmenty `../`, aby zapisać pliki w dowolnej lokalizacji na docelowym serwerze Samba.

CVE-2026-46315
Średnie

W jądrze Linux wykryto podatność w mechanizmie io_uring dla operacji IORING_OP_WAITID. Struktura przechowująca wyniki (io_waitid::info) nie była inicjowana przed kopiowaniem do przestrzeni użytkownika, co mogło prowadzić do wycieku niezainicjowanych danych z pamięci jądra.

CVE-2026-34905
Średnie

Podatność w Apache Answer umożliwia nieautoryzowanym użytkownikom dostęp do wrażliwych informacji, takich jak niepubliczne pytania, odpowiedzi, komentarze oraz historia zmian. Problem występuje w wersjach do 2.0.0.

CVE-2026-34033
Średnie

Podatność CVE-2026-34033 dotyczy niewłaściwej neutralizacji tagów HTML związanych z skryptami w aplikacji Apache Answer do wersji 2.0.0. Umożliwia to uwierzytelnionym użytkownikom wstrzykiwanie dowolnego HTML do wiadomości e-mail wysyłanych do innych użytkowników.

CVE-2026-34031
Średnie

Podatność w Apache Answer umożliwia nieograniczone przesyłanie plików z niebezpiecznymi typami. Problem ten dotyczy wersji do 2.0.0 i polega na niewystarczającej walidacji URL-i obrazów dostarczanych przez użytkowników.

CVE-2026-33582
Średnie

Podatność w Apache Answer umożliwia nieograniczone przesyłanie plików z niebezpiecznym typem. Wykorzystanie spreparowanego obrazu TIFF może prowadzić do nadmiernego przydzielania pamięci podczas dekodowania obrazu, co może spowodować awarię procesu serwera.

PoprzedniaStrona 154 z 560Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS