Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.13)

CVE-2026-56225
Wysokie

Capgo przed wersją 12.128.2 zawiera podatność na obejście autoryzacji w swoich handlerach zarządzania kluczami API (get/put/delete/post). Klucze API utworzone w trybie=all, ale ograniczone do jednej aplikacji przez limited_to_apps, są sprawdzane tylko pod kątem limited_to_orgs, co pozwala na manipulację kluczami API należącymi do tego samego konta.

CVE-2026-56222
Wysokie

Capgo przed wersją 12.128.2 zawiera lukę w autoryzacji w POST /private/role_bindings, która nie weryfikuje własności app_id podczas tworzenia powiązań ról w zakresie aplikacji. Atakujący z uprawnieniami administracyjnymi w jednej organizacji może tworzyć powiązania ról, które celują w aplikacje należące do innych organizacji.

CVE-2026-54892
Wysokie

W Plug występuje problem z wydajnością w dekoderze zagnieżdżonych parametrów, który pozwala nieautoryzowanemu zdalnemu atakującemu na wywołanie odmowy usługi. Złożoność algorytmu dekodowania jest kwadratowa w zależności od liczby poziomów zagnieżdżenia, co może prowadzić do zablokowania serwera.

CVE-2026-4610
Średnie

Wtyczka ProfileGrid dla WordPressa zawiera podatność na trwałe ataki XSS poprzez parametr 'pm_author_message' w funkcji pm_send_message_to_author. Problem występuje we wszystkich wersjach do 5.9.9.2 włącznie i wynika z niedostatecznego oczyszczania danych wejściowych oraz braku kodowania wyjścia.

CVE-2026-44089
Krytyczne

Router Totolink EX1200L jest podatny na przepełnienie bufora w funkcjonalności logowania w punkcie końcowym cgi-bin/cstecgi.cgi. Wykorzystanie tej podatności może prowadzić do awarii programu oraz zdalnego wykonania kodu.

CVE-2026-10857
Średnie

W podatności CVE-2026-10857 występuje niewłaściwe neutralizowanie danych wejściowych podczas generowania stron internetowych, co prowadzi do podatności na ataki typu Reflected XSS w oprogramowaniu e-Commerce firmy AKIN Software.

CVE-2026-10711
Wysokie

W CafePlus występuje luka związana z brakiem uwierzytelnienia dla krytycznej funkcji, co pozwala na dostęp do funkcjonalności, która nie jest odpowiednio ograniczona przez listy kontroli dostępu (ACL). Problem dotyczy wersji od 12.05.03 do przed 12.05.04.

CVE-2025-71376
Wysokie

Picklescan w wersjach przed 0.0.29 nie wykrywa złośliwych plików pickle, co pozwala atakującym na osadzenie niewykrytego kodu w tych plikach. Kod ten może wykonywać dowolne polecenia po załadowaniu przez ofiary.

CVE-2025-71370
Wysokie

Picklescan w wersjach przed 0.0.28 nie wykrywa złośliwych wywołań funkcji torch.jit.unsupported_tensor_ops.execWrapper osadzonych w plikach pickle. Atakujący mogą stworzyć złośliwe pliki pickle, które omijają detekcję picklescan i wykonują dowolny kod po załadowaniu przez pickle.load().

CVE-2025-71365
Wysokie

Picklescan w wersjach przed 0.0.33 nie wykrywa złośliwych plików pickle, które wywołują funkcję numpy.f2py.crackfortran.myeval za pomocą metody reduce. Atakujący mogą stworzyć złośliwe pliki pickle, które zawierają dowolny kod, omijają detekcję picklescan i wykonują zdalny kod po załadowaniu.

CVE-2025-71341
Wysokie

Picklescan w wersjach przed 0.0.29 nie wykrywa funkcji profile.Profile.runctx podczas analizy plików pickle, co pozwala atakującym na osadzenie niezauważonego złośliwego kodu. Zdalni atakujący mogą stworzyć złośliwe pliki pickle wykorzystujące profile.Profile.runctx w metodzie reduce, co prowadzi do zdalnego wykonania kodu po załadowaniu pliku pickle.

CVE-2025-71337
Wysokie

Flowise w wersjach przed 3.0.10 (dotknięte wersje 3.0.7 i wcześniejsze) zawiera podatność na niezweryfikowaną zmianę adresu e-mail. Użytkownik z autoryzacją może zmienić adres e-mail konta bez potwierdzenia zmiany na oryginalny adres e-mail lub ponownego wprowadzenia aktualnego hasła.

CVE-2026-4983
Średnie

Rejestr Open VSX nie sanitizuje plików SVG przesyłanych jako ikony rozszerzeń przed ich zapisaniem, co pozwala na publikację złośliwego rozszerzenia z ikoną SVG. To prowadzi do przechowywanego ataku XSS, gdy użytkownik odwiedza bezpośrednio URL ikony.

CVE-2026-11374
KrytyczneEPSS 65%

W ManageEngine ADSelfService Plus, RecoveryManager Plus, M365 Manager Plus i ADAudit Plus, bilety SSO generowane do uwierzytelnienia sesji mogą być przewidywane przez nieautoryzowanego użytkownika, co prowadzi do przejęcia konta.

CVE-2026-9733
Krytyczne

Wersje Mojolicious::Plugin::Web::Auth::OAuth2 do 0.17 dla Perla mają niebezpieczny domyślny parametr stanu. Brak określonego generatora stanu w konstruktorze skutkuje użyciem hasha SHA-1 z przewidywalnych źródeł, co umożliwia atak CSRF.

CVE-2026-10521
Wysokie

Wysokoprawny atakujący zdalnie może uzyskać dostęp do ukrytej metody konfiguracyjnej, która nie powinna być dostępna dla żadnego użytkownika, aby zmodyfikować krytyczne parametry programu.

CVE-2026-8379
Wysokie

Wtyczka Frontend File Manager dla WordPressa do wersji 23.6 nie wymusza poprawnie sprawdzenia nonce w obsłudze pobierania plików, co pozwala nieautoryzowanym atakującym na pobieranie plików przesłanych przez dowolnego użytkownika.

CVE-2026-8378
Średnie

Wtyczka Frontend File Manager dla WordPressa do wersji 23.6 nie sanitizuje ani nie ucieka od nazwy pliku przesyłanej do punktu końcowego zmiany nazwy pliku, co prowadzi do podatności na przechowywane ataki Cross-Site Scripting.

CVE-2026-8172
Wysokie

Wtyczka Simple Basic Contact Form dla WordPressa do wersji 20250114 nie zabezpiecza danych wejściowych dostarczonych przez użytkowników przed ich wyświetleniem w formularzu kontaktowym w przypadku błędów walidacji, co prowadzi do podatności na Reflected Cross-Site Scripting.

CVE-2026-8163
Wysokie

Wtyczka Infility Global dla WordPressa przed wersją 2.15.19 nieprawidłowo sanitizuje i ucieka niektóre parametry przed ich użyciem w zapytaniach SQL, co prowadzi do podatności na atak typu SQL Injection. Atak ten może być wykorzystany przez uwierzytelnionych użytkowników z dostępem na poziomie Subskrybenta i wyżej.

PoprzedniaStrona 221 z 4549Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS