Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.14)

CVE-2026-10809
Średnie

W systemie zarządzania opłatami itsourcecode w wersji 1.0 odkryto lukę bezpieczeństwa, która dotyczy nieznanej funkcji pliku /manage_user.php. Manipulacja argumentem ID prowadzi do wstrzyknięcia SQL, co umożliwia zdalne przeprowadzenie ataku.

CVE-2026-10808
Średnie

Zidentyfikowano podatność w systemie zarządzania opłatami itsourcecode w wersji 1.0. Problem dotyczy nieznanej funkcji w pliku /manage_student.php, gdzie manipulacja argumentem ID prowadzi do wstrzykiwania SQL.

CVE-2026-10807
Średnie

Wykryto podatność w mjperpinosa stumasy, która dotyczy nieznanej funkcji w pliku application/PHP/objects/profiles/change_profile_image.php. Manipulacja argumentem pr_profile_image może prowadzić do nieograniczonego przesyłania plików.

CVE-2026-10806
Średnie

Wykryto podatność w mjperpinosa stumasy, która dotyczy nieznanej funkcji w pliku application/PHP/objects/updates/add_post.php. Manipulacja argumentem up_file_to_post prowadzi do nieograniczonego przesyłania plików, co może być inicjowane zdalnie.

CVE-2019-25744
Średnie

WordPress Popup Builder w wersji 3.49 zawiera podatność na trwałe skrypty między witrynami (XSS), która pozwala uwierzytelnionym atakującym na wstrzykiwanie złośliwych skryptów poprzez wyjście z tagów opcji w parametrze post_title.

CVE-2019-25743
Średnie

WordPress Soliloquy Lite w wersji 2.5.6 zawiera podatność na trwałe skrypty między witrynami (XSS), która pozwala uwierzytelnionym atakującym na wstrzykiwanie złośliwych skryptów poprzez dodanie tagów skryptów w polu tytułu posta.

CVE-2019-25742
Średnie

Motyw WordPress Zoner Real Estate w wersji 4.1.1 zawiera podatność na trwałe skrypty międzywitrynowe, która pozwala uwierzytelnionym agentom na wstrzykiwanie złośliwych skryptów przez pole adresu podczas tworzenia nieruchomości.

CVE-2019-25740
Średnie

Joomla com_jsjobs w wersji 1.2.6 zawiera podatność na nieautoryzowane usuwanie plików, która pozwala uwierzytelnionym atakującym na usunięcie plików poprzez manipulację parametrami custom userfield. Atakujący mogą wysyłać żądania POST do zadania job.savejob z sekwencjami przejścia ścieżki w parametrze field_2, aby usunąć dowolne pliki dostępne dla serwera WWW.

CVE-2019-25739
Średnie

GigToDo w wersji 1.3 zawiera podatność na trwałe ataki typu cross-site scripting (XSS), która pozwala uwierzytelnionym atakującym na wstrzykiwanie złośliwego kodu JavaScript i HTML przez pole opisu propozycji.

CVE-2019-25737
Średnie

Live Chat Unlimited w wersji 2.8.3 zawiera podatność na przechowywane skrypty międzywitrynowe (XSS), która pozwala nieautoryzowanym atakującym na wstrzykiwanie złośliwych skryptów przez pole wejściowe czatu. Atakujący mogą przesyłać ładunki zawierające tagi skryptów i obsługiwane zdarzenia, które wykonują się w obszarze administracyjnym.

CVE-2019-25734
Średnie

Wtyczka Contact Form by WD w wersji 1.13.1 zawiera podatność na atak typu cross-site request forgery (CSRF) połączoną z lokalnym dołączaniem plików. Umożliwia to nieautoryzowanym atakującym dołączanie dowolnych plików poprzez wykorzystanie niesanitizowanych parametrów akcji.

CVE-2019-25731
Średnie

Zuz Music 2.1 zawiera podatność na trwałe ataki typu cross-site scripting (XSS), która pozwala nieautoryzowanym atakującym na wstrzykiwanie złośliwego kodu JavaScript poprzez przesyłanie spreparowanych danych formularza kontaktowego. Kod skryptu może być wstrzykiwany przez parametry name, subject i message w żądaniach POST do /gmusic/zuzconsole/___contact.

CVE-2026-10802
Średnie

Wykryto podatność w keystonejs do wersji 20260319, która dotyczy nieznanego kodu w pliku output-field.ts w komponentach GraphQL API Endpoint. Manipulacja tą podatnością prowadzi do nadmiernego zużycia zasobów.

CVE-2025-52606
Średnie

HCL iControl jest podatny na lukę związaną z słabą walidacją wejścia. Problem ten wynika z nieprawidłowej implementacji taktyki bezpieczeństwa architektonicznego, gdzie otrzymane dane wejściowe nie są poprawnie weryfikowane pod kątem oczekiwanego typu.

CVE-2026-49077
Średnie

Podatność CVE-2026-49077 w wtyczce WP eMember umożliwia nieautoryzowanym użytkownikom dostęp do wrażliwych danych systemowych. Dotyczy to wersji od n/a do 10.2.2.

CVE-2026-8916
Średnie

Podatność typu out-of-bounds write w bibliotece rlottie od Samsunga umożliwia przepełnienie buforów. Problem ten dotyczy wersji przed dcfde72eae1b0464dc0dd760aec00ada6a148635.

CVE-2026-50226
Średnie

W aplikacji AcerConnect OTA naprawiono klucze AES-128-CBC, co pozwala atakującym na fałszowanie poświadczeń autoryzacyjnych dla dowolnych numerów IMEI. Umożliwia to nieautoryzowanym osobom przeglądanie elementów katalogu oraz wyciąganie chronionych binarnych plików z wstępnie podpisanych linków w chmurze.

CVE-2026-50224
Średnie

Panel administracyjny sieciowy jest dostępny na publicznym adresie IPv6 na porcie [::]:8080 bez domyślnych ograniczeń zapory, co umożliwia dostęp do wewnętrznych punktów API przez WAN.

CVE-2026-4881
Średnie

W podatnych wersjach Octopus Server nieprawidłowo sprawdzano uprawnienia, co pozwalało każdemu uwierzytelnionemu użytkownikowi na dokonywanie zmian na poziomie serwera za pomocą określonego punktu końcowego API, mimo wyświetlania błędu.

CVE-2026-49510
Średnie

W podatności CVE-2026-49510 występuje przepełnienie lub owinięcie liczb całkowitych w otwartym źródle rlottie firmy Samsung, co umożliwia ataki typu Integer. Problem dotyczy wersji rlottie przed 21292665023e5074b38254432716866d00f1985f.

PoprzedniaStrona 188 z 557Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS