Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.13)

CVE-2026-12849
KrytyczneEPSS 74%

Wielokrotne podatności na wstrzyknięcie poleceń systemowych występują w funkcjonalności libNetSetObj.so w urządzeniu GeoVision GV-I/O Box 4E 2.09. Specjalnie skonstruowany pakiet sieciowy może prowadzić do wykonania poleceń przez atakującego.

CVE-2026-12848
Krytyczne

GV-I/O Box 4E to inteligentne urządzenie wbudowane, które obsługuje komunikację przez Ethernet i RS-485. Usługa DVRSearch, działająca domyślnie na porcie 10001, jest podatna na przepełnienie bufora stosu, co może być wykorzystane przez atakującego do wykonania złośliwego kodu.

CVE-2026-12847
Krytyczne

GV-I/O Box 4E to inteligentne urządzenie wbudowane, które jest podatne na przepełnienie stosu w wyniku nieprawidłowego przetwarzania wiadomości UDP. Atakujący może wysłać odpowiednio skonstruowaną wiadomość, co prowadzi do potencjalnego przepełnienia bufora.

CVE-2026-12846
Krytyczne

GV-I/O Box 4E to inteligentne urządzenie wbudowane, które jest podatne na przepełnienie stosu w wyniku nieprawidłowego przetwarzania wiadomości UDP. Atakujący może wysłać odpowiednio skonstruowaną wiadomość, co może prowadzić do nieautoryzowanego dostępu lub awarii urządzenia.

CVE-2026-12488
Średnie

W funkcjonalności GV-Cloud w GeoVision GV-VMS V20 20.0.2 występuje podatność na uszkodzenie pamięci. Specjalnie przygotowane żądanie sieciowe może prowadzić do odmowy usługi.

CVE-2026-12486
KrytyczneEPSS 75%

Wielokrotne podatności na wstrzyknięcie poleceń systemowych występują w funkcjonalności libNetSetObj.so w urządzeniu GeoVision GV-I/O Box 4E 2.09. Specjalnie skonstruowany pakiet sieciowy może prowadzić do wykonania poleceń przez atakującego.

CVE-2026-12485
Krytyczne

GV-I/O Box 4E to inteligentne urządzenie wbudowane, które obsługuje komunikację przez Ethernet i RS-485. Usługa DVRSearch, działająca domyślnie na tym urządzeniu, jest podatna na przepełnienie bufora stosu, co może być wykorzystane przez atakującego do wykonania złośliwego kodu.

CVE-2026-3652
Wysokie

Wtyczka ARForms dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez parametr `value` w akcji AJAX `arf_save_incomplete_form_data` w wersjach do 7.1.3 włącznie, z powodu niewystarczającej sanitizacji danych wejściowych i ucieczki danych wyjściowych.

CVE-2026-11614
Średnie

Wtyczka Xpro Addons — 140+ Widgetów dla Elementora w WordPressie jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez parametr 'custom_attributes' we wszystkich wersjach do 1.7.2 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia.

CVE-2026-12681
Wysokie

W podatności w Google go-attestation, funkcja parseEfiSignatureList() nieprawidłowo waliduje indeksy, co pozwala na dodanie kontrolowanych przez atakującego bajtów nagłówka dostawcy do zaufanej listy hashy SHA256. Może to prowadzić do akceptacji skompromitowanego stanu rozruchu przez weryfikator zdalnej attestation.

CVE-2026-54639
Wysokie

Style Dictionary, system budowania do tworzenia stylów międzyplatformowych, ma podatność na zanieczyszczenie prototypu od wersji 4.3.0 do 5.4.4. Użytkownicy są narażeni na ryzyko w przypadku bezpośredniego lub pośredniego użycia API, szczególnie w aplikacjach serwerowych NodeJS.

CVE-2026-7574
Wysokie

Podatność w Anthropic Claude Desktop (wersje od v1.1348.0 do v1.2278.0) polega na braku weryfikacji integralności obrazu systemu plików maszyny wirtualnej Cowork. Lokalny atakujący z nieuprzywilejowanym dostępem do konta macOS może zmodyfikować obraz rootfs.img, który zostanie załadowany przy kolejnym uruchomieniu VM, co umożliwia trwałe wykonanie dowolnego kodu w maszynie wirtualnej i dostęp do zamontowanych katalogów hosta.

CVE-2026-6458
Średnie

Brakujący krok kryptograficzny w oprogramowaniu układowym Caliptra Core prowadzi do nieprawidłowego tagu uwierzytelniającego GCM. Użycie API AES-256-GCM ze pustym AAD skutkuje tym, że stan akumulatora GHASH nie jest zapisywany po pierwszym wywołaniu aktualizacji, co powoduje, że końcowy tag nie uwzględnia pierwszej partii przetworzonego szyfrogramu.

CVE-2026-5818
Wysokie

Błędna weryfikacja wartości zwracanej funkcji w oprogramowaniu Caliptra Core Runtime Firmware umożliwia obejście weryfikacji oprogramowania MCU podczas aktualizacji bez przestojów.

CVE-2026-56785
Wysokie

FlatPress zawiera podatność na przechowywane ataki typu cross-site scripting w formularzach komentarzy i kontaktowych, gdzie pola imienia, URL i e-mail są renderowane bez odpowiedniego kodowania wyjściowego w szablonach Smarty. Atakujący mogą wstrzykiwać dowolny HTML i JavaScript przez te pola.

CVE-2026-54588
Krytyczne

Poweradmin to narzędzie do zarządzania DNS w oparciu o sieć, które w wersjach przed 4.2.4 i 4.3.3 wykorzystuje nagłówek `HTTP_HOST` kontrolowany przez atakującego do budowania adresów URL zwrotnych w procesach uwierzytelniania OIDC, SAML i wylogowywania bez żadnej walidacji. Atakujący może wykorzystać tę lukę do przejęcia konta ofiary.

CVE-2026-48493
Średnie

W systemie Snipe-IT w wersjach przed 8.6.0 użytkownik z uprawnieniem users.edit może wysłać żądanie PATCH do /api/v1/users/{swoje_id} i nadać sobie dowolne uprawnienia (oprócz admin i superuser), np. assets.view, assets.create, reports.view czy import. Problem został naprawiony w wersji 8.6.0.

CVE-2026-47693
Średnie

Poweradmin przed wersjami 4.2.4 i 4.3.3 jest podatny na wstrzykiwanie formuł CSV w funkcji eksportu logów. Nazwa użytkownika, która może być kontrolowana przez atakującego, jest zapisywana do plików CSV bez oczyszczania znaków wyzwalających formuły (=, +, -, @).

CVE-2026-12164
Średnie

Podatność w Fortra File Integrity Monitoring (dawniej Tripwire Enterprise) przed wersją 9.4.0 może powodować przypisanie nieprawidłowych lub podwyższonych uprawnień użytkownikom utworzonym za pomocą polecenia tetool import podczas działania FIM, szczególnie gdy import tworzy lub zmienia role lub relacje rola-uprawnienie.

CVE-2026-12163
Średnie

W systemie Fortra File Integrity Monitoring (FIM), dawniej Tripwire Enterprise, w wersjach przed 9.4.0.1 wykryto podatność na trwały atak XSS w komponencie Asset View UI. Uwierzytelniony użytkownik z odpowiednimi uprawnieniami może przechowywać złośliwy skrypt w polach konfiguracyjnych węzłów lub baz danych, który zostanie wykonany w przeglądarce innego administratora.

PoprzedniaStrona 209 z 4550Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS