Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.13)

CVE-2026-41853
Średnie

Podatność w Spring MVC i WebFlux umożliwia ataki typu Multipart request smuggling. Luka występuje w Spring Framework w wersjach od 7.0.0 do 7.0.7, od 6.2.0 do 6.2.18, od 6.1.0 do 6.1.27 oraz od 5.3.0 do 5.3.48.

CVE-2026-41851
Średnie

Aplikacje akceptujące wyrażenia SpEL od użytkownika mogą być podatne na atak DoS, jeśli ewaluacja wyrażenia powoduje nieograniczony wzrost pamięci podręcznej.

CVE-2026-41847
Średnie

Aplikacje Spring WebFlux mogą być podatne na obejście zabezpieczeń podczas korzystania z Kotlin Router DSL.

CVE-2026-41846
Średnie

Aplikacje Spring MVC, które akceptują wartości dostarczone przez użytkownika w atrybutach cssClass, cssErrorClass lub cssStyle znaczników formularzy JSP, umożliwiają wstrzyknięcie dowolnego kodu HTML/JavaScript, co może prowadzić do podatności na ataki typu cross-site scripting (XSS).

CVE-2026-41844
Średnie

Podatność w Spring MVC i Spring WebFlux umożliwia atakującemu przekierowanie użytkownika na dowolny zewnętrzny host poprzez spreparowany link z prefiksem 'redirect:', gdy aplikacja konfiguruje mapowanie dla '/**' bez jawnego określenia nazwy widoku.

CVE-2026-41843
Średnie

Podatność typu Path Traversal w Spring MVC i WebFlux podczas rozwiązywania zasobów statycznych. Atakujący może uzyskać dostęp do plików poza katalogiem docelowym.

CVE-2026-41841
Średnie

Aplikacje Spring MVC i WebFlux są podatne na ujawnienie informacji podczas rozwiązywania zasobów statycznych. Podatność dotyczy Spring Framework w wersjach 7.0.0–7.0.7, 6.2.0–6.2.18, 6.1.0–6.1.27 oraz 5.3.0–5.3.48.

CVE-2026-41840
Średnie

Aplikacje Spring WebFlux są podatne na ataki typu Denial of Service (DoS) podczas przetwarzania żądań wieloczęściowych (multipart). Podatność dotyczy Spring Framework w wersjach 7.0.0 do 7.0.7, 6.2.0 do 6.2.18, 6.1.0 do 6.1.27 oraz 5.3.0 do 5.3.48.

CVE-2026-41839
Średnie

Aplikacja WebFlux z przejętą subdomeną (np. przez XSS) umożliwia atakującemu podmianę znanego identyfikatora sesji na identyfikator sesji uwierzytelnionego użytkownika, co prowadzi do eskalacji uprawnień.

CVE-2026-41838
Średnie

Identyfikatory sesji WebSocket w module spring-websocket nie są kryptograficznie nieprzewidywalne, co może umożliwić ich wykorzystanie w połączeniu z nieodpowiednimi regułami autoryzacji.

CVE-2026-41715
Średnie

W określonych scenariuszach, w których dochodzi do przekierowań HTTP z bezpiecznego na niezabezpieczony punkt końcowy, klient HTTP Reactor Netty może ujawniać dane uwierzytelniające. Ujawnienie to występuje tylko wtedy, gdy klient HTTP został skonfigurowany do śledzenia przekierowań.

CVE-2026-41710
Średnie

Atakujący może stworzyć dużą liczbę unikalnych żądań, które powodują awarię, wyczerpując pojemność aplikacyjnej pamięci podręcznej retry. Po zapełnieniu pamięci podręcznej, wszystkie późniejsze aktualizacje są trwale odrzucane, co prowadzi do awarii wszystkich późniejszych prób ponownych i obwodów w aplikacji.

CVE-2026-11623
Średnie

Wykryto podatność w tmux do wersji 3.6a, dotycząca funkcji image_free w pliku image.c, prowadzącą do wykorzystania pamięci po jej zwolnieniu. Atak wymaga lokalnego dostępu i charakteryzuje się wysoką złożonością.

CVE-2026-11603
Średnie

Wtyczka Product Filter Widget dla Elementora w WordPressie jest podatna na odzwierciedlone ataki Cross-Site Scripting (XSS) poprzez parametr 'args[filterFormArray]' w wersjach do 1.0.6 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia.

CVE-2026-10738
Średnie

Wtyczka jQuery Hover Footnotes dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez kwalifikator przypisu ('{{...}}') w wersjach do 1.4 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie autora i wyżej wstrzykiwanie dowolnych skryptów webowych na stronach.

CVE-2026-10553
Średnie

Wtyczka jQuery Hover Footnotes dla WordPressa jest podatna na atak Cross-Site Request Forgery (CSRF) we wszystkich wersjach do i włącznie z 1.4. Problem wynika z braku lub nieprawidłowej walidacji nonce w funkcji jqFootnotes_options_subpanel.

CVE-2026-10024
Średnie

Wtyczka TinyMCE shortcode Addon dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez atrybut 'btnrel' Shortcode w wersjach do 1.0.0 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia.

CVE-2026-5714
Średnie

Wtyczka Enable Media Replace dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez parametr 'location_dir' we wszystkich wersjach do 4.1.8 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie autora i wyżej wstrzykiwanie dowolnych skryptów webowych na stronach, które będą wykonywane przy każdym dostępie użytkownika do zainfekowanej strony.

CVE-2026-11621
Średnie

Zidentyfikowano słabość w Dcat-Admin do wersji 2.2.3-beta, która wpływa na funkcję editorMDUpload w pliku /admin/dcat-api/editor-md/upload na stronie ustawień użytkownika. Manipulacja argumentem editormd-image-file umożliwia nieograniczony upload plików.

CVE-2026-11620
Średnie

W urządzeniu TOTOLINK EX200 w wersji 4.0.3c.7646 odkryto lukę bezpieczeństwa w pliku /etc/vsftpd.conf komponentu vsftpd. Manipulacja tym plikiem prowadzi do naruszenia zasady minimalnych uprawnień.

PoprzedniaStrona 181 z 586Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS