Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
W urządzeniu Tenda AC18 w wersji oprogramowania 15.03.05.05 wykryto podatność na wstrzykiwanie poleceń w punkcie końcowym /goform/fast_setting_internet_set. Niezautoryzowany atakujący może wysłać spreparowane żądanie z złośliwym ładunkiem w parametrze mac, co pozwala na wykonanie dowolnych poleceń systemowych.
Rozszerzenie Charts dla MediaWiki zawiera podatność na ataki XSS spowodowaną niewłaściwą neutralizacją danych wejściowych podczas generowania stron. Problem dotyczy wersji przed 1.43.9, 1.44.6 i 1.45.4.
W AWS CLI przed wersjami 1.44.78 (v1) i 2.34.29 (v2) na systemach Unix-like, domyślne uprawnienia plików są zbyt liberalne, co pozwala innym lokalnym użytkownikom na tym samym hoście odczytać poświadczenia zapisane przez niektóre podkomendy CLI (aws codeartifact login, aws iam create-virtual-mfa-device, aws deploy register). Problem występuje, gdy umask nie został skonfigurowany do ograniczenia uprawnień plików (co jest domyślne na większości systemów).
W systemach HashiCorp Vault i Vault Enterprise przed wersją 2.0.1, logika walidacji urządzeń audytu nie stosowała konsekwentnie ochrony katalogów wtyczek, gdy używano starszej opcji ścieżki pliku audytu. Luka ta została załatana w wersjach 2.0.1, 1.21.6, 1.20.11 oraz 1.19.17.
Podatność polegająca na przekierowaniu URL do niezaufanej witryny (open redirect) w rozszerzeniu UrlShortener dla MediaWiki umożliwia ataki Cross-Site Flashing. Problem dotyczy wersji przed 1.43.9, 1.44.6 i 1.45.4.
Wtyczka Shortcodes and extra features dla motywu Phlox zawiera podatność na ataki XSS oparte na DOM. Luka wynika z niewłaściwego neutralizowania danych wejściowych podczas generowania stron internetowych.
Wtyczka Enable Media Replace dla WordPressa zawiera podatność na trwałe ataki XSS (Cross-Site Scripting) spowodowaną niewłaściwą neutralizacją danych wejściowych podczas generowania stron. Problem dotyczy wersji od n/a do 4.2.1 włącznie.
Podatność SQL Injection w GoAdminGroup GoAdmin (ostatnie wydanie v1.2.26) umożliwia zdalnemu atakującemu wykonanie dowolnego kodu i uzyskanie wrażliwych informacji poprzez parametr URL __sort_type na wszystkich endpointach /admin/info/{table}.
Podatność CVE-2026-49090 w Elasticsearch umożliwia atak typu odmowa usługi (DoS) poprzez niekontrolowane zużycie zasobów. Uwierzytelniony użytkownik może wysłać spreparowane żądanie zbiorcze (bulk request), które powoduje długotrwałe wysokie obciążenie procesora, uniemożliwiając węzłowi przetwarzanie innych zapytań.
Wtyczka ApplyOnline dla WordPressa zawiera lukę braku autoryzacji, która umożliwia wykorzystanie nieprawidłowo skonfigurowanych poziomów bezpieczeństwa kontroli dostępu. Luka dotyczy wersji od n/a do 2.6.7.6.
Wtyczka ThumbPress dla WordPressa zawiera lukę braku autoryzacji, która umożliwia wykorzystanie nieprawidłowo skonfigurowanych poziomów bezpieczeństwa kontroli dostępu. Podatność dotyczy wszystkich wersji od n/a do 6.3.2 włącznie.
Podatność CVE-2026-56152 w Elastic Defend wynika z nieprawidłowej autoryzacji (CWE-863). Umożliwia ona niskouprzywilejowanemu, uwierzytelnionemu użytkownikowi dostęp do danych akcji odpowiedzi, do których nie ma uprawnień, co prowadzi do nieautoryzowanego ujawnienia informacji.
Podatność CVE-2026-56151 w Kibanie wynika z nieprawidłowej walidacji danych wejściowych (CWE-20). Uwierzytelniony użytkownik może przesłać specjalnie spreparowane dane wejściowe polityki Fleet, co prowadzi do odmowy usługi (DoS) poprzez manipulację danymi wejściowymi (CAPEC-153). Atak ten uniemożliwia działanie zarządzania agentami Fleet, serwerem oraz politykami.
Podatność CWE-770 w Fleet Server umożliwia atakującemu wysłanie specjalnie spreparowanego żądania do punktu końcowego przesyłania plików, co prowadzi do nadmiernego zużycia pamięci i może spowodować odmowę usługi (DoS).
Podatność CWE-770 w Elasticsearch umożliwia atak DoS poprzez nadmierną alokację pamięci. Użytkownik z podwyższonymi uprawnieniami może wysłać spreparowane żądanie uczenia maszynowego, co prowadzi do wyczerpania zasobów i niedostępności węzła.
Podatność CVE-2026-56148 w Elasticsearch umożliwia niekontrolowaną rekurencję, co prowadzi do odmowy usługi. Uwierzytelniony użytkownik może wysłać specjalnie spreparowane zapytanie, które powoduje nadmierne zużycie zasobów podczas przetwarzania, potencjalnie uniemożliwiając działanie dotkniętego węzła.
Podatność CVE-2026-49088 w Kibanie umożliwia wstawianie wrażliwych informacji do plików dziennika. Gdy opcjonalne monitorowanie wydajności aplikacji (APM) jest włączone, wrażliwe wartości nagłówków żądań mogą być rejestrowane w logach aplikacji.
Podatność CWE-770 w Kibanie umożliwia atak DoS poprzez nadmierną alokację zasobów. Uwierzytelniony użytkownik może wysłać spreparowane żądanie masowego usunięcia, powodując wyczerpanie zasobów i niedostępność Kibany.
Podatność w systemie językowym Guardian polega na braku sanityzacji parametru GET 'id' przed wstawieniem go do kodu HTML i atrybutów akcji formularza w pliku media.php (linie 119, 129). Uwierzytelniony atakujący może stworzyć URL, który wstrzykuje znaczniki skryptów wykonujące się w sesji przeglądarki ofiary.
Podatność w systemie językowym Guardian polega na braku sanityzacji parametru GET 'id' przed wstawieniem go do atrybutów akcji formularzy HTML w pliku text_file.php. Uwierzytelniony atakujący może stworzyć URL, który wstrzykuje skrypty wykonywane w sesji przeglądarki ofiary.

