Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-57532
Wysokie

Złośliwa zawartość HTML zawarta w specyfikacji układu PDF mogła zostać wykonana po otwarciu edytora PDF w przeglądarce. Umożliwia to jednemu użytkownikowi backendu wstrzyknięcie JavaScriptu do kontekstu przeglądarki innego użytkownika backendu.

CVE-2026-57437
Średnie

Podatność w bibliotece Nokogiri dla języka Ruby (wersje przed 1.19.4) powoduje, że obiekt Nokogiri::XML::XPathContext nie utrzymuje przy życiu źródłowego dokumentu XML dla mechanizmu odśmiecania pamięci. Jeśli kontekst XPath przetrwa dłużej niż dokument, a dokument zostanie usunięty przez garbage collector, wykonanie wyrażenia XPath może odczytać nieprawidłową pamięć i potencjalnie spowodować segfault.

CVE-2026-57436
Średnie

Podatność w bibliotece Nokogiri dla języka Ruby umożliwia ustawienie węzła DTD jako korzenia dokumentu XML, co prowadzi do użycia pamięci po jej zwolnieniu (use-after-free) podczas działania garbage collectora lub finalizacji. Skutkuje to nieprawidłowym odczytem pamięci lub potencjalnym segfaultem.

CVE-2026-57435
Wysokie

Podatność w bibliotece Nokogiri (wersje przed 1.19.4) dla języka Ruby umożliwia pozostawienie wskaźnika Ruby do zwolnionej pamięci podczas zmiany wartości atrybutu XML. Może to prowadzić do odczytu z nieprawidłowego adresu i potencjalnego segfaulta.

CVE-2026-57434
Wysokie

Podatność w bibliotece Nokogiri dla języka Ruby powoduje wywołanie dereferencji wskaźnika NULL podczas wywoływania określonych metod na zaalokowanych, ale niezainicjalizowanych natywnych klasach opakowujących dziedziczących po Nokogiri::XML::Node. Problem został naprawiony w wersji 1.19.4.

CVE-2026-57236
Wysokie

Podatność w bibliotece Nokogiri (wersje przed 1.19.4) dla języka Ruby. Wywołanie metody Document#encoding= z nieprawidłowym kodowaniem (np. niebędącym ciągiem znaków lub zawierającym bajt null) powoduje zwolnienie pamięci przechowującej bieżące kodowanie dokumentu bez jej zastąpienia. Kolejne odwołanie do Document#encoding odczytuje zwolnioną pamięć, co może prowadzić do błędu segfault lub wycieku danych do obiektu String w Ruby. Problem dotyczy tylko implementacji CRuby (libxml2); JRuby nie jest zagrożony.

CVE-2026-57235
Wysokie

Podatność w bibliotece Nokogiri dla języka Ruby umożliwia odczyt poza zakresem pamięci przez metodę Nokogiri::XML::NodeSet#[] (oraz jej alias #slice). Problem wynika z błędnego sprawdzania zakresu indeksu, który jest obcinany do 32 bitów przed walidacją, co pozwala na użycie bardzo dużego ujemnego indeksu i odczyt poza przydzieloną pamięcią. Na CRuby prowadzi to do awarii procesu, a na JRuby do zwrócenia nieprawidłowego węzła.

CVE-2026-57234
Niskie

Podatność w bibliotece Nokogiri dla języka Ruby dotyczy nieprawidłowego egzekwowania opcji NONET w implementacji JRuby. Opcja ta, domyślnie włączona dla Nokogiri::XML::Schema (zgodnie z CVE-2020-26247), nie zapobiegała pobieraniu zasobów zewnętrznych przez sieć podczas parsowania schematu, co mogło prowadzić do ataków SSRF lub XXE. Problem został naprawiony w wersji 1.19.4.

CVE-2026-49319
Średnie

System zdalnego bezkluczykowego dostępu (RKES) wykorzystujący kluczyk 433 MHz z identyfikatorem FCC ID CWTR53R0, wyprodukowany przez ALPS ALPINE CO., LTD., jest podatny na atak typu roll-back na uwierzytelnianie kodu zmiennego. Atakujący w zasięgu RF, który zarejestruje dwie kolejne transmisji blokady lub odblokowania z legalnego kluczyka, może później wielokrotnie odtworzyć tę samą parę transmisji, co skutkuje udanym zablokowaniem lub odblokowaniem pojazdu.

CVE-2026-46735
Wysokie

Dell Display and Peripheral Manager (DDPM Mac) w wersjach przed 2.3 zawiera podatność na niewłaściwą neutralizację specjalnych elementów używanych w poleceniach systemowych, co prowadzi do możliwości wykonania poleceń przez atakującego z niskimi uprawnieniami.

CVE-2026-13314
Niskie

Wtyczka pretix-digital jest podatna na wstrzykiwanie złośliwego kodu HTML do renderowanej treści. Atakujący może wykorzystać tę lukę do osadzenia dowolnego kodu HTML, co może prowadzić do ataków typu cross-site scripting (XSS).

CVE-2026-13225
Średnie

Podatność umożliwia wstrzyknięcie złośliwego kodu HTML do adresu e-mail zamówienia, który pretix wyświetla bez sanityzacji na stronie potwierdzenia dla poszczególnych biletów w tym zamówieniu.

CVE-2026-13223
Średnie

Integracja płatności z metodami opartymi na Computop nieprawidłowo walidowała odpowiedzi o statusie płatności. Atakujący mógł wykorzystać odpowiedź o udanej płatności dla jednej transakcji i dostarczyć ją do systemu dla innej płatności, uzyskując dostęp do wielu ważnych biletów za jedną opłatą.

CVE-2026-13222
Średnie

Integracja płatności z metodami płatności opartymi na Oppwa nieprawidłowo walidowała odpowiedzi dotyczące statusu płatności. Atakujący mógł wykorzystać odpowiedź o udanej płatności dla jednej transakcji i dostarczyć ją systemowi dla innej płatności, uzyskując dostęp do wielu ważnych biletów za pomocą tylko jednej płatności.

CVE-2026-57619
Średnie

Wtyczka Elementor Website Builder w wersji 4.1.3 i starszych zawiera podatność na ujawnienie wrażliwych danych współtwórców. Luka ta może pozwolić atakującemu na dostęp do poufnych informacji przechowywanych przez wtyczkę.

CVE-2026-57429
Średnie

Wtyczka Slim SEO w wersjach do 4.6.2 zawiera podatność polegającą na złamaniu kontroli dostępu dla współautorów. Osoba z rolą współautora może uzyskać nieuprawniony dostęp do funkcji zarządzania SEO.

CVE-2026-56122
Wysokie

Winstone Servlet Engine w wersji do 0.9.10 zawiera podatność na traversję ścieżek, która pozwala nieautoryzowanym atakującym na odczyt dowolnych plików poprzez wysyłanie żądań HTTP GET z sekwencjami dot-dot-slash. Atakujący mogą uzyskać dostęp do plików poza katalogiem webroot, co może prowadzić do ujawnienia wrażliwych danych.

CVE-2026-56071
Wysokie

W wersjach Forminator do 1.53.1 występuje podatność na nieautoryzowane ataki Cross Site Scripting (XSS). Atakujący może wykorzystać tę lukę do wstrzykiwania złośliwego kodu JavaScript.

CVE-2026-56054
Wysokie

W wersjach JS Help Desk do 3.1.1 występuje podatność, która pozwala subskrybentom na dowolne usuwanie plików.

CVE-2026-56053
Wysokie

Podatność typu PHP Object Injection wtyczki EventPrime w wersjach do 4.3.4.1 umożliwia subskrybentom wstrzyknięcie złośliwych obiektów PHP. Może to prowadzić do zdalnego wykonania kodu lub innych nieautoryzowanych działań na serwerze.

PoprzedniaStrona 182 z 4563Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS