Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.16)
W wersjach Media Library Assistant do 3.35 zidentyfikowano podatność na nieautoryzowane ataki Cross Site Scripting (XSS). Atakujący może wykorzystać tę lukę do wstrzyknięcia złośliwego kodu JavaScript.
W wersjach Pods <= 3.3.8 występuje podatność na nieautoryzowane ataki Cross Site Scripting (XSS). Atakujący może wykorzystać tę lukę do wstrzykiwania złośliwego kodu JavaScript.
W wersjach Attendance Manager do 0.6.2 występuje podatność na atak typu SQL Injection, która może być wykorzystana przez subskrybentów.
W WooCommerce POS w wersjach do 1.8.14 występuje problem z nieautoryzowanym dostępem, który pozwala na złamanie kontroli dostępu.
Wtyczka WP Sessions Time Monitoring Full Automatic w wersjach do 1.1.4 zawiera podatność na atak SQL Injection, co może umożliwić nieautoryzowanym użytkownikom dostęp do bazy danych.
Wersje JupiterX Core do 4.14.1 mają lukę w kontroli dostępu, która pozwala na nieautoryzowany dostęp do zasobów.
W wersjach Min Max Step Quantity Limits Manager dla WooCommerce do 5.2.2 występuje podatność na nieautoryzowane ataki Cross Site Scripting (XSS). Atakujący może wykorzystać tę lukę do wstrzyknięcia złośliwego skryptu.
W API WebSocket występuje podatność na odmowę usługi spowodowana niewystarczającą walidacją i obsługą żądań opartych na JSON. Atakujący z niskimi uprawnieniami może wysłać specjalnie przygotowane żądanie, co prowadzi do zakłócenia działania usługi i może skutkować nieoczekiwanym ponownym uruchomieniem urządzenia.
W wersjach WP Event Solution do 4.1.12 występuje nieautoryzowana luka w kontroli dostępu, która może umożliwić atakującym dostęp do zasobów, do których nie powinni mieć dostępu.
Wtyczka WP Review Slider Pro dla WordPressa jest podatna na atak typu SQL Injection poprzez parametr 'curselrevs[]' w akcji AJAX w wersjach do 12.6.8 włącznie. Problem wynika z braku sanitizacji i rzutowania typu przy odczycie $_POST['curselrevs'], co pozwala na wstrzykiwanie dodatkowych zapytań SQL.
W jądrze Linux wykryto podatność w mechanizmie pedit (packet editor) w podsystemie sieciowym. Obliczanie zakresu COW (copy-on-write) przed pętlą kluczy nie uwzględniało przesunięcia nagłówka dodawanego w czasie wykonania, co mogło prowadzić do niepełnego COW i uszkodzenia pamięci podręcznej stron.
Wtyczka WP Review Slider Pro dla WordPressa jest podatna na atak typu SQL Injection poprzez parametry 'stypes' i 'slocations' w akcji AJAX w wersjach do 12.6.8 włącznie. Problem wynika z niewłaściwego przetwarzania danych wejściowych, co pozwala na wstrzykiwanie dodatkowych zapytań SQL przez uwierzytelnionych atakujących.
Wtyczka Premmerce Dev Tools dla WordPressa jest podatna na zdalne wykonanie kodu z powodu braku autoryzacji w wersjach do 2.0 włącznie. Funkcja 'generatePluginHandler' nie sprawdza autoryzacji przed przetwarzaniem danych POST dostarczonych przez użytkownika, co umożliwia atakującym wstrzyknięcie kodu PHP.
W programie CGI w oprogramowaniu układowym Zyxel GS1900-48HPv2 do wersji 2.90(ABTQ.1)C0 występuje podatność na przepełnienie bufora na stosie. Atakujący z sieci LAN, nieautoryzowany, może wykorzystać tę lukę do wykonania poleceń systemowych za pomocą odpowiednio skonstruowanego żądania HTTP.
Nieprawidłowa walidacja danych wejściowych w funkcji SSH Elevate Shell w Devolutions Remote Desktop Manager 2026.2.7 pozwala uwierzytelnionemu użytkownikowi z uprawnieniami do tworzenia lub modyfikowania wspólnego wpisu SSH na wykonywanie dowolnych poleceń na zdalnym hoście SSH przy użyciu zapisanych poświadczeń podwyższenia.
Podatność CVE-2026-53430 dotyczy niewłaściwego przetwarzania silnie skompresowanych danych w elixir-grpc, co może prowadzić do ataku typu denial of service za pomocą bomby dekompresyjnej gzip.
Podatność w elixir-grpc grpc pozwala nieautoryzowanym atakującym na wyczerpanie pamięci BEAM i awarię serwera poprzez przesyłanie dużych lub wolno przesyłających się żądań. Brak limitów rozmiaru dla akumulowanych danych oraz nieskończony czas oczekiwania na odczyt chunków umożliwia niekontrolowany wzrost pamięci.
Browserstack-cypress-cli w wersjach przed 1.36.4 jest podatny na wstrzykiwanie poleceń systemowych poprzez parametr konfiguracyjny cypress_config_file. Funkcja loadJsFile() w pliku readCypressConfigUtil.js wykonuje polecenie powłoki, interpolując wartość cypress_config_filepath kontrolowaną przez użytkownika.
Podatność w elixir-grpc umożliwia atakującym z odpowiednimi uprawnieniami dostęp do zasobów innych użytkowników poprzez manipulację wartościami w zapytaniach. Dzięki temu mogą oni obejść mechanizmy autoryzacji, co prowadzi do nieautoryzowanego dostępu lub modyfikacji danych.
Zidentyfikowano potencjalne podatności w HP One Agent dla niektórych produktów HP PC, które mogą umożliwić eskalację uprawnień i/lub odmowę usługi.

