Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
Podatność w komponencie przepływu wiadomości WSO2 API Manager pozwala nieuwierzytelnionemu atakującemu na manipulację nagłówkami WS-Addressing. Brak odpowiedniej walidacji tych nagłówków umożliwia przekierowanie żądań inicjowanych przez serwer do dowolnych, zewnętrznych lokalizacji.
Wtyczka Frontend File Manager dla WordPress do wersji 23.6 nie weryfikuje poprawnie własności docelowych wpisów przed ich trwałym usunięciem, co pozwala uwierzytelnionym użytkownikom z poziomem autora i wyższym na trwałe usuwanie dowolnych wpisów i stron. Gdy administrator włączy opcję „Allow guest uploads”, ta sama luka staje się dostępna dla nieuwierzytelnionych użytkowników.
Wtyczka SALESmanago & Leadoo dla WordPress przed wersją 3.11.3 nieprawidłowo oczyszcza i nie koduje parametru przekazywanego do jednej z akcji AJAX przed użyciem go w zapytaniu SQL, a także nie egzekwuje autoryzacji dla tej akcji, co pozwala uwierzytelnionym użytkownikom z minimalnymi uprawnieniami, takimi jak subskrybenci, na przeprowadzanie ataków SQL Injection.
Wtyczka YMC Filter dla WordPressa przed wersją 3.11.3 nie autoryzuje poprawnie dostępu do jednego z endpointów REST API oraz nie waliduje parametru zapytania podanego przez użytkownika. Umożliwia to nieuwierzytelnionym atakującym odczytanie tytułów i treści prywatnych, szkiców oraz innych niepublicznych wpisów.
Wtyczka Printcart Web to Print Product Designer dla WooCommerce do wersji 2.4.8 zawiera podatność na path traversal, umożliwiającą atakującemu odczytanie listy plików w dowolnych katalogach na serwerze.
W produkcie ExpressUpdate Agent dla systemu Windows wykryto lukę związaną z niewystarczającą kontrolą dostępu. Osoba atakująca, która uzyska dostęp do oprogramowania, może wykorzystać tę podatność do wykonania dowolnego kodu z uprawnieniami SYSTEM.
Podatność typu Server-Side Cross-Site Scripting (XSS) i Server-Side Request Forgery (SSRF) w akcji markdown_to_pdf wtyczki Markdown dla InsightConnect firmy Rapid7 w wersji 3.1.4 i wcześniejszych na systemie Linux. Zdalny atakujący może wykonać JavaScript po stronie serwera oraz wysyłać dowolne żądania HTTP na zewnątrz poprzez spreparowaną treść osadzoną w danych wejściowych Markdown. Silnik renderowania PDF nie ogranicza wykonywania skryptów ani dostępu do sieci zewnętrznej.
W skrypcie stats-video.php brakuje sanityzacji danych wejściowych użytkownika. Adresy URL do tego skryptu nie były konstruowane zgodnie z najlepszymi praktykami, a wynik działania niestandardowej funkcji pomocniczej Smarty 'url' nie był odpowiednio kodowany ani sanityzowany, co pozwala na odbicie danych dostarczonych przez użytkownika bez ich escapowania.
W Revive Adserver 6.0.7 odkryto obejście ograniczenia dostępu do API XML-RPC dla administratorów. Metoda ox.login zwracała ciasteczko sesji w nagłówkach HTTP, a mimo błędu sesja nie była unieważniana, co pozwalało na wykorzystanie wyciekniętego identyfikatora sesji do nieautoryzowanych wywołań API.
W Revive Adserver 6.0.7 w narzędziach maintenance-acl-check.php i maintenance-banners-check.php występuje podatność na trwały XSS. Nazwy encji są wyświetlane bez odpowiedniego escapingu podczas wykrywania niespójności.
Podatność CVE-2026-50741 omija poprawkę dla CVE-2026-34916. Atakujący może ominąć zabezpieczenie, wysyłając niedozwolony, ale poprawny identyfikator wtyczki jako typ lub używając metody XML-RPC `ox.setChannelTargeting`.
W Revive Adserver 6.0.7 i wcześniejszych wersjach brak dezynfekcji danych wejściowych w skrypcie zone-include.php umożliwia ataki XSS. Niskouprzywilejowany użytkownik może wykorzystać parametr refresh w tagu wywołania iFrame do przeprowadzenia odbitego ataku XSS.
W Revive Adserver 6.0.7 i wcześniejszych wersjach odkryto obejście podatności CVE-2026-34913, polegające na braku walidacji własności przy odwrotnej operacji łączenia kampanii i trackerów przez skrypt `tracker-campaigns.php`. Użytkownik z niskimi uprawnieniami może połączyć swoje trackery z kampaniami należącymi do innych menedżerów w tej samej instancji, co prowadzi do niespójnych relacji własności.
Podatność w API uprawnień Node.js umożliwia uruchomienie lokalnego serwera przez gniazdo domeny Unix, nawet bez wymaganego uprawnienia `--allow-net`. Problem dotyczy linii wydania Node.js 26.
Podatność w API uprawnień Node.js umożliwia modyfikację metadanych pliku nawet na ścieżce ustawionej jako tylko do odczytu za pomocą flagi `--allow-fs-read`. Problem dotyczy wszystkich wspieranych linii wydań: Node.js 22, Node.js 24 oraz Node.js 26.
W Node.js wykryto błąd w weryfikacji hosta TLS, który umożliwia atakującemu ominięcie walidacji certyfikatu. Podatność dotyczy wszystkich wspieranych linii wydań: Node.js 22, Node.js 24 oraz Node.js 26.
Błąd w implementacji WebCrypto w Node.js powoduje awarię procesu, gdy dane wejściowe funkcji `subtle.encrypt()` mają rozmiar będący wielokrotnością 2 GiB. Podatność dotyczy wszystkich wspieranych linii wydań: Node.js 22, Node.js 24 i Node.js 26.
Podatność w Node.js dotyczy obsługi nazw hostów TLS, gdzie osadzone znaki null (nul) w nazwach hostów mogą prowadzić do cichego ponownego wiązania autorytetu z powodu obcinania ciągów znaków w resolver bindings. Problem występuje we wszystkich wspieranych liniach wydań: Node.js 22, Node.js 24 i Node.js 26.
Niespójność w dopasowywaniu nazw hostów w Node.js może prowadzić do obejścia polityki zaufania w konfiguracjach mTLS z wieloma kontekstami. Podatność dotyczy wszystkich wspieranych linii wydań: Node.js 22, Node.js 24 oraz Node.js 26.
Błąd w kliencie HTTP/2 Node.js umożliwia serwerowi wysłanie nieograniczonej liczby ramek ORIGIN, co może prowadzić do błędu braku pamięci (Out of Memory) po stronie klienta. Podatność dotyczy wszystkich wspieranych linii wydań: Node.js 22, Node.js 24 oraz Node.js 26.

