Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-2053
Wysokie

Podatność w komponencie przepływu wiadomości WSO2 API Manager pozwala nieuwierzytelnionemu atakującemu na manipulację nagłówkami WS-Addressing. Brak odpowiedniej walidacji tych nagłówków umożliwia przekierowanie żądań inicjowanych przez serwer do dowolnych, zewnętrznych lokalizacji.

CVE-2026-8380
Średnie

Wtyczka Frontend File Manager dla WordPress do wersji 23.6 nie weryfikuje poprawnie własności docelowych wpisów przed ich trwałym usunięciem, co pozwala uwierzytelnionym użytkownikom z poziomem autora i wyższym na trwałe usuwanie dowolnych wpisów i stron. Gdy administrator włączy opcję „Allow guest uploads”, ta sama luka staje się dostępna dla nieuwierzytelnionych użytkowników.

CVE-2026-10835
Wysokie

Wtyczka SALESmanago & Leadoo dla WordPress przed wersją 3.11.3 nieprawidłowo oczyszcza i nie koduje parametru przekazywanego do jednej z akcji AJAX przed użyciem go w zapytaniu SQL, a także nie egzekwuje autoryzacji dla tej akcji, co pozwala uwierzytelnionym użytkownikom z minimalnymi uprawnieniami, takimi jak subskrybenci, na przeprowadzanie ataków SQL Injection.

CVE-2026-10823
Wysokie

Wtyczka YMC Filter dla WordPressa przed wersją 3.11.3 nie autoryzuje poprawnie dostępu do jednego z endpointów REST API oraz nie waliduje parametru zapytania podanego przez użytkownika. Umożliwia to nieuwierzytelnionym atakującym odczytanie tytułów i treści prywatnych, szkiców oraz innych niepublicznych wpisów.

CVE-2025-10268
Średnie

Wtyczka Printcart Web to Print Product Designer dla WooCommerce do wersji 2.4.8 zawiera podatność na path traversal, umożliwiającą atakującemu odczytanie listy plików w dowolnych katalogach na serwerze.

CVE-2026-8797
Wysokie

W produkcie ExpressUpdate Agent dla systemu Windows wykryto lukę związaną z niewystarczającą kontrolą dostępu. Osoba atakująca, która uzyska dostęp do oprogramowania, może wykorzystać tę podatność do wykonania dowolnego kodu z uprawnieniami SYSTEM.

CVE-2026-8661
Średnie

Podatność typu Server-Side Cross-Site Scripting (XSS) i Server-Side Request Forgery (SSRF) w akcji markdown_to_pdf wtyczki Markdown dla InsightConnect firmy Rapid7 w wersji 3.1.4 i wcześniejszych na systemie Linux. Zdalny atakujący może wykonać JavaScript po stronie serwera oraz wysyłać dowolne żądania HTTP na zewnątrz poprzez spreparowaną treść osadzoną w danych wejściowych Markdown. Silnik renderowania PDF nie ogranicza wykonywania skryptów ani dostępu do sieci zewnętrznej.

CVE-2026-50745
Średnie

W skrypcie stats-video.php brakuje sanityzacji danych wejściowych użytkownika. Adresy URL do tego skryptu nie były konstruowane zgodnie z najlepszymi praktykami, a wynik działania niestandardowej funkcji pomocniczej Smarty 'url' nie był odpowiednio kodowany ani sanityzowany, co pozwala na odbicie danych dostarczonych przez użytkownika bez ich escapowania.

CVE-2026-50744
Średnie

W Revive Adserver 6.0.7 odkryto obejście ograniczenia dostępu do API XML-RPC dla administratorów. Metoda ox.login zwracała ciasteczko sesji w nagłówkach HTTP, a mimo błędu sesja nie była unieważniana, co pozwalało na wykorzystanie wyciekniętego identyfikatora sesji do nieautoryzowanych wywołań API.

CVE-2026-50742
Średnie

W Revive Adserver 6.0.7 w narzędziach maintenance-acl-check.php i maintenance-banners-check.php występuje podatność na trwały XSS. Nazwy encji są wyświetlane bez odpowiedniego escapingu podczas wykrywania niespójności.

CVE-2026-50741
Wysokie

Podatność CVE-2026-50741 omija poprawkę dla CVE-2026-34916. Atakujący może ominąć zabezpieczenie, wysyłając niedozwolony, ale poprawny identyfikator wtyczki jako typ lub używając metody XML-RPC `ox.setChannelTargeting`.

CVE-2026-50740
Średnie

W Revive Adserver 6.0.7 i wcześniejszych wersjach brak dezynfekcji danych wejściowych w skrypcie zone-include.php umożliwia ataki XSS. Niskouprzywilejowany użytkownik może wykorzystać parametr refresh w tagu wywołania iFrame do przeprowadzenia odbitego ataku XSS.

CVE-2026-50739
Średnie

W Revive Adserver 6.0.7 i wcześniejszych wersjach odkryto obejście podatności CVE-2026-34913, polegające na braku walidacji własności przy odwrotnej operacji łączenia kampanii i trackerów przez skrypt `tracker-campaigns.php`. Użytkownik z niskimi uprawnieniami może połączyć swoje trackery z kampaniami należącymi do innych menedżerów w tej samej instancji, co prowadzi do niespójnych relacji własności.

CVE-2026-48936
Niskie

Podatność w API uprawnień Node.js umożliwia uruchomienie lokalnego serwera przez gniazdo domeny Unix, nawet bez wymaganego uprawnienia `--allow-net`. Problem dotyczy linii wydania Node.js 26.

CVE-2026-48935
Niskie

Podatność w API uprawnień Node.js umożliwia modyfikację metadanych pliku nawet na ścieżce ustawionej jako tylko do odczytu za pomocą flagi `--allow-fs-read`. Problem dotyczy wszystkich wspieranych linii wydań: Node.js 22, Node.js 24 oraz Node.js 26.

CVE-2026-48934
Średnie

W Node.js wykryto błąd w weryfikacji hosta TLS, który umożliwia atakującemu ominięcie walidacji certyfikatu. Podatność dotyczy wszystkich wspieranych linii wydań: Node.js 22, Node.js 24 oraz Node.js 26.

CVE-2026-48933
WysokieEPSS 83%

Błąd w implementacji WebCrypto w Node.js powoduje awarię procesu, gdy dane wejściowe funkcji `subtle.encrypt()` mają rozmiar będący wielokrotnością 2 GiB. Podatność dotyczy wszystkich wspieranych linii wydań: Node.js 22, Node.js 24 i Node.js 26.

CVE-2026-48930
Krytyczne

Podatność w Node.js dotyczy obsługi nazw hostów TLS, gdzie osadzone znaki null (nul) w nazwach hostów mogą prowadzić do cichego ponownego wiązania autorytetu z powodu obcinania ciągów znaków w resolver bindings. Problem występuje we wszystkich wspieranych liniach wydań: Node.js 22, Node.js 24 i Node.js 26.

CVE-2026-48928
Średnie

Niespójność w dopasowywaniu nazw hostów w Node.js może prowadzić do obejścia polityki zaufania w konfiguracjach mTLS z wieloma kontekstami. Podatność dotyczy wszystkich wspieranych linii wydań: Node.js 22, Node.js 24 oraz Node.js 26.

CVE-2026-48619
Wysokie

Błąd w kliencie HTTP/2 Node.js umożliwia serwerowi wysłanie nieograniczonej liczby ramek ORIGIN, co może prowadzić do błędu braku pamięci (Out of Memory) po stronie klienta. Podatność dotyczy wszystkich wspieranych linii wydań: Node.js 22, Node.js 24 oraz Node.js 26.

PoprzedniaStrona 171 z 4563Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS