Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-54405
Wysokie

Podatność w aplikacji UniFi Network Application umożliwia atakującemu z dostępem do sieci przeprowadzenie ataku typu Denial of Service (DoS) poprzez niewłaściwą walidację danych wejściowych.

CVE-2026-54404
Wysokie

Podatność SQL Injection w systemie UniFi OS umożliwia atakującemu z dostępem do sieci i niskimi uprawnieniami eskalację uprawnień na urządzeniach lub instancjach z tym systemem.

CVE-2026-54403
Wysokie

Podatność typu Path Traversal w urządzeniach z systemem UniFi OS umożliwia osobie atakującej z dostępem do sieci ominięcie uwierzytelniania. Luka występuje w określonych urządzeniach lub instancjach działających pod kontrolą UniFi OS.

CVE-2026-54402
Krytyczne

Podatność w systemie UniFi OS umożliwia atakującemu z dostępem do sieci i niskimi uprawnieniami wykonanie wstrzyknięcia poleceń na urządzeniu poprzez niewłaściwą walidację danych wejściowych.

CVE-2026-54401
Wysokie

Podatność SSRF w systemie UniFi OS umożliwia atakującemu z dostępem do sieci i niskimi uprawnieniami eskalację przywilejów na urządzeniu lub w instancji.

CVE-2026-54400
Krytyczne

Podatność w aplikacji UniFi Access umożliwia eskalację uprawnień na urządzeniu hosta. Osoba atakująca z dostępem do sieci i wysokimi uprawnieniami może wykorzystać niewłaściwą kontrolę dostępu.

CVE-2026-53358
Nieznane

W jądrze Linuxa w podsystemie Bluetooth L2CAP wykryto podatność polegającą na nieprawidłowej kolejności blokad podczas zamykania kanałów w funkcji cleanup_listen(). Zamiast bezpośredniego wywołania l2cap_chan_close(), które mogło prowadzić do odwrócenia kolejności blokad (deadlock), zastosowano asynchroniczne zamykanie kanałów za pomocą timera.

CVE-2026-53357
Nieznane

W jądrze Linuxa wykryto podatność use-after-free (UAF) w stosie Bluetooth. Problem występuje w funkcjach l2cap_sock_cleanup_listen() i l2cap_conn_del(), gdzie podczas zamykania gniazda nasłuchującego i równoczesnego rozłączania HCI dochodzi do wyścigu, w wyniku którego zwalniane jest gniazdo potomne, a następnie używane przez funkcję czyszczącą. Podatność może prowadzić do awarii systemu lub potencjalnie do eskalacji uprawnień.

CVE-2026-50748
Krytyczne

Podatność w aplikacji UniFi Access umożliwia atakującemu z dostępem do sieci i niskimi uprawnieniami wykonanie wstrzyknięcia poleceń na urządzeniu hosta z powodu nieprawidłowej walidacji danych wejściowych.

CVE-2026-50747
Krytyczne

Podatność SQL Injection w aplikacji UniFi Talk umożliwia uwierzytelnionemu atakującemu z dostępem sieciowym i niskimi uprawnieniami eskalację uprawnień na urządzeniu hosta.

CVE-2026-50746
Krytyczne

Podatność w aplikacji UniFi Connect umożliwia atakującemu z dostępem do sieci wykonanie wstrzyknięcia poleceń na urządzeniu hosta z powodu nieprawidłowej kontroli dostępu.

CVE-2026-12168
Wysokie

Podatność w sterowniku `GFAC_Sys_x64.sys` firmy Little Orbit GFAC wynika z nieprawidłowej walidacji danych. Lokalny atakujący może eskalować uprawnienia do SYSTEM i wykonać dowolny kod w trybie jądra poprzez spreparowane wiadomości wysłane przez port komunikacyjny Minifilter.

CVE-2026-12167
Wysokie

Podatność w sterowniku `GFAC_Sys_x64.sys` firmy Little Orbit GFAC umożliwia lokalnemu atakującemu dostęp do uprzywilejowanych funkcji sterownika poprzez port komunikacyjny Minifilter, który nie ma odpowiednich ograniczeń dostępu.

CVE-2026-12166
Średnie

W sterowniku `GFAC_Sys_x64.sys` firmy Little Orbit GFAC wykryto podatność polegającą na dereferencji wskaźnika NULL. Lokalny atakujący może wykorzystać spreparowane żądania, powodując awarię systemu i odmowę usługi (DoS).

CVE-2026-4767
Krytyczne

Brak uwierzytelniania dla krytycznej funkcji w WAF-ASP firmy TR7 Cyber Defense Inc. umożliwia nadużycie uwierzytelniania. Podatność dotyczy wersji od v1.0.324.900 do v1.4.0.117.

CVE-2026-5524
Krytyczne

Wtyczka Divi Form Builder dla WordPressa do wersji 5.1.8 zawiera podatność na dowolne przesyłanie plików, prowadzącą do zdalnego wykonania kodu. Problem wynika z niewystarczającej walidacji rozszerzeń plików w funkcji do_image_upload(), gdzie parametr acceptFileTypes jest bezpośrednio wstawiany do wyrażenia regularnego. Atakujący może przesłać pliki z rozszerzeniami .phtml, .phar, .php5 lub .php7, omijając ochronę .htaccess blokującą tylko pliki .php.

CVE-2026-58653
Średnie

PraisonAI przed wersją 0.1.7 nie weryfikuje, czy identyfikator projektu (project_id) w żądaniach tworzenia i aktualizacji zgłoszeń należy do obszaru roboczego (workspace) wskazanego w URL. Atakujący może tworzyć zgłoszenia odnoszące się do projektów z innych obszarów roboczych, powodując zanieczyszczenie danych między dzierżawcami w agregacji statystyk projektów bez ograniczeń obszaru roboczego.

CVE-2026-58652
Wysokie

Podatność w luci-app-travelmate i pakiecie travelmate umożliwia eskalację uprawnień. Posiadacz sesji z uprawnieniami do zapisu UCI może ustawić dowolny skrypt i argumenty, które zostaną wykonane jako root przez usługę travelmate. Ograniczenie interfejsu do katalogu /etc/travelmate/*.login jest tylko frontendowe.

CVE-2026-4772
Średnie

W produkcie WAF-ASP firmy TR7 Cyber Defense Inc. wykryto podatność na trwałe ataki XSS (Cross-Site Scripting) spowodowaną niewłaściwą neutralizacją danych wejściowych podczas generowania strony internetowej. Problem dotyczy wersji od v1.0.324.900 do v1.4.0.117.

CVE-2026-4770
Średnie

W Web Application Firewall firmy TR7 Cyber Defense Inc. wykryto podatność na atak typu DOM-Based XSS, wynikającą z nieprawidłowej neutralizacji danych wejściowych podczas generowania strony. Problem dotyczy wersji od 1.0.42.239 do 1.4.0.117.

PoprzedniaStrona 20 z 4494Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS