Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.13)

CVE-2026-35716
Średnie

W oprogramowaniu sprzętowym VIVOTEK FD8136 (wersja FD8136-VVTK-0300a) w pliku binarnym motion_privacy.cgi występuje przepełnienie bufora stosu. Uwierzytelniony atakujący zdalny może wysłać żądanie POST z nadmiernie długim parametrem n1 do jednego z trzech punktów końcowych, co prowadzi do wykonania dowolnego kodu z uprawnieniami roota.

CVE-2026-34460
Średnie

NamelessMC to oprogramowanie do tworzenia stron internetowych dla serwerów Minecraft. W wersjach 2.2.4 i wcześniejszych obsługa callbacków OAuth nie weryfikuje parametru state po stronie serwera przed wymianą kodu autoryzacyjnego, co umożliwia atakującemu przechwycenie ważnego URL callbacka OAuth dla własnego konta.

CVE-2026-49782
Średnie

Podatność związana z brakiem autoryzacji w Elementor Website Builder umożliwia wykorzystanie nieprawidłowo skonfigurowanych poziomów kontroli dostępu. Dotyczy to wersji od n/a do 4.1.0.

CVE-2026-43965
Średnie

Podatność typu path traversal w zarządzaniu zależnościami Gleam pozwala na usunięcie dowolnego katalogu poprzez złośliwą zawartość pliku build/packages/packages.toml. Klucze pakietów odczytywane z tego pliku są przekazywane bez walidacji, co umożliwia atakującemu manipulację ścieżkami systemowymi.

CVE-2026-42795
Średnie

Podatność związana z podążaniem za symlinkami w eksporcie pakietu Hex w Gleam umożliwia osadzenie plików spoza katalogu projektu w wygenerowanym archiwum tarball. Funkcje zbierające pliki nie weryfikują, czy docelowa ścieżka pozostaje w obrębie katalogu projektu, co pozwala na osadzenie zawartości symlinków.

CVE-2026-41918
Średnie

Zidentyfikowano podatność w RUGGEDCOM RST2428P (6GK6242-6PA00) we wszystkich wersjach poniżej V4.0. Aplikacje dotknięte tą podatnością przechowują w pamięci podręcznej przeglądarki wrażliwe informacje, gdy uwierzytelniony użytkownik modyfikuje określone konfiguracje.

CVE-2026-35717
Średnie

W oprogramowaniu VIVOTEK FD8136 (wersja FD8136-VVTK-0300a) w pliku export_language.cgi występuje przepełnienie bufora stosu. Uwierzytelniony atakujący może wysłać spreparowane żądanie POST do endpointu /cgi-bin/admin/export_language.cgi, przekazując kontrolowaną wartość Content-Length do funkcji fread(), co prowadzi do nadpisania rejestru powrotu i wykonania dowolnego kodu z uprawnieniami roota.

CVE-2026-32685
Średnie

Podatność typu path traversal w obsłudze niestandardowych stron dokumentacji w Gleam pozwala na odczyt i zapis plików poza zamierzonym katalogiem wyjściowym dokumentacji. Wprowadzenie wpisów z gleam.toml do ścieżek systemowych nie jest wystarczająco walidowane, co umożliwia atakującym manipulację plikami.

CVE-2026-32250
Średnie

W oprogramowaniu NamelessMC dla serwerów Minecraft odkryto podatność typu Reflected Cross-Site Scripting (XSS) w wersji 2.2.4, dotyczącą parametru id w punkcie końcowym `/index.php?route=/queries/user/`. Aplikacja odzwierciedla dane wejściowe użytkownika z parametru id w odpowiedzi HTML bez odpowiedniej sanitizacji lub kodowania wyjścia.

CVE-2026-28116
Średnie

Podatność CVE-2026-28116 dotyczy niewłaściwej neutralizacji danych wejściowych podczas generowania stron internetowych w aplikacji Emilia Projects Progress Planner, co pozwala na ataki typu Stored XSS. Problem ten dotyczy wersji Progress Planner od n/a do 1.9.0.

CVE-2026-27351
Średnie

W systemie Crew HRM występuje luka związana z brakiem autoryzacji, która pozwala na wykorzystanie nieprawidłowo skonfigurowanych poziomów kontroli dostępu. Problem ten dotyczy wersji od n/a do 1.2.2.

CVE-2019-25717
Średnie

Podatność w monitorach pacjenta Dräger Infinity Delta, Delta XL i Kappa umożliwia nieuwierzytelnionym atakującym dostęp do plików dziennika przez sieć. Atakujący mogą uzyskać informacje o wewnętrznej konfiguracji urządzenia, lokalizacji oraz szczegóły konfiguracji sieci przewodowej.

CVE-2026-8993
Średnie

Komponent D.Launcher 2 w ekosystemie klienta eID na Słowacji zawiera podatność na niewłaściwe przetwarzanie handlerów URL. Aplikacja rejestruje wiele niestandardowych handlerów URL, które mogą być wykorzystane do inicjowania pełnej autoryzacji NTLM lub połączenia SMB z infrastrukturą atakującego oraz do przeprowadzania ataków SSRF.

CVE-2026-5191
Średnie

Wtyczka Tiled Gallery Carousel Without JetPack dla WordPressa jest podatna na przechowywane ataki typu cross-site scripting (XSS) poprzez parametr 'data-image-title' we wszystkich wersjach do 3.1 włącznie, z powodu niewystarczającej sanitizacji danych wejściowych i ucieczki danych wyjściowych. Umożliwia to uwierzytelnionym atakującym, posiadającym dostęp na poziomie współpracownika i wyżej, wstrzykiwanie dowolnych skryptów webowych na stronach, które będą wykonywane przy każdym dostępie użytkownika do zainfekowanej strony.

CVE-2026-46718
Średnie

W podatności 'Unsafe Reflection' w Apache Calcite, zewnętrznie kontrolowane dane wejściowe mogą być użyte do wyboru klas lub kodu. Problem ten dotyczy wersji Apache Calcite od 1.5.0 do przed 1.42.

CVE-2026-41115
Średnie

Zidentyfikowano podatność na niewłaściwą autoryzację w Apache Kafka. Implementacja API CONSUMER_GROUP_DESCRIBE (69) weryfikuje operację DESCRIBE na zasobie GROUP zamiast operacji READ, co może prowadzić do błędnej konfiguracji list kontroli dostępu (ACL) i niezamierzonych postaw bezpieczeństwa.

CVE-2026-34907
Średnie

Wirtualna Uczelnia jest podatna na odzwierciedlone ataki Cross-Site Scripting (XSS) z powodu niebezpiecznego przetwarzania parametru locale w wielu punktach końcowych. Atakujący może stworzyć złośliwy link z osadzonym JavaScriptem w parametrze locale i wysłać go do ofiary.

CVE-2026-10549
Średnie

W podatności CVE-2026-10549 występuje luka w filtrze LDAP w bazie danych Yandex przed wersją 25.3.1.25, która pozwala zdalnemu atakującemu z ważnymi poświadczeniami LDAP na ominięcie kontroli członkostwa w grupach, co prowadzi do nieautoryzowanego dostępu do bazy danych.

CVE-2025-53346
Średnie

W ThimPress Thim Core występuje luka związana z brakiem autoryzacji, która pozwala na wykorzystanie nieprawidłowo skonfigurowanych poziomów kontroli dostępu. Problem dotyczy wersji Thim Core od n/a do 2.3.3.

CVE-2025-53302
Średnie

W podatności CVE-2025-53302 w Anton Shevchuk Constructor brakuje odpowiednich mechanizmów autoryzacji, co pozwala na dostęp do funkcji, które nie są właściwie ograniczone przez listy kontroli dostępu (ACL). Problem ten dotyczy wersji Constructor od n/a do 1.6.5.

PoprzedniaStrona 185 z 556Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS