Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.14)

CVE-2026-44089
Krytyczne

Router Totolink EX1200L jest podatny na przepełnienie bufora w funkcjonalności logowania w punkcie końcowym cgi-bin/cstecgi.cgi. Wykorzystanie tej podatności może prowadzić do awarii programu oraz zdalnego wykonania kodu.

CVE-2026-10857
Średnie

W podatności CVE-2026-10857 występuje niewłaściwe neutralizowanie danych wejściowych podczas generowania stron internetowych, co prowadzi do podatności na ataki typu Reflected XSS w oprogramowaniu e-Commerce firmy AKIN Software.

CVE-2026-10711
Wysokie

W CafePlus występuje luka związana z brakiem uwierzytelnienia dla krytycznej funkcji, co pozwala na dostęp do funkcjonalności, która nie jest odpowiednio ograniczona przez listy kontroli dostępu (ACL). Problem dotyczy wersji od 12.05.03 do przed 12.05.04.

CVE-2025-71376
Wysokie

Picklescan w wersjach przed 0.0.29 nie wykrywa złośliwych plików pickle, co pozwala atakującym na osadzenie niewykrytego kodu w tych plikach. Kod ten może wykonywać dowolne polecenia po załadowaniu przez ofiary.

CVE-2025-71370
Wysokie

Picklescan w wersjach przed 0.0.28 nie wykrywa złośliwych wywołań funkcji torch.jit.unsupported_tensor_ops.execWrapper osadzonych w plikach pickle. Atakujący mogą stworzyć złośliwe pliki pickle, które omijają detekcję picklescan i wykonują dowolny kod po załadowaniu przez pickle.load().

CVE-2025-71365
Wysokie

Picklescan w wersjach przed 0.0.33 nie wykrywa złośliwych plików pickle, które wywołują funkcję numpy.f2py.crackfortran.myeval za pomocą metody reduce. Atakujący mogą stworzyć złośliwe pliki pickle, które zawierają dowolny kod, omijają detekcję picklescan i wykonują zdalny kod po załadowaniu.

CVE-2025-71341
Wysokie

Picklescan w wersjach przed 0.0.29 nie wykrywa funkcji profile.Profile.runctx podczas analizy plików pickle, co pozwala atakującym na osadzenie niezauważonego złośliwego kodu. Zdalni atakujący mogą stworzyć złośliwe pliki pickle wykorzystujące profile.Profile.runctx w metodzie reduce, co prowadzi do zdalnego wykonania kodu po załadowaniu pliku pickle.

CVE-2025-71337
Wysokie

Flowise w wersjach przed 3.0.10 (dotknięte wersje 3.0.7 i wcześniejsze) zawiera podatność na niezweryfikowaną zmianę adresu e-mail. Użytkownik z autoryzacją może zmienić adres e-mail konta bez potwierdzenia zmiany na oryginalny adres e-mail lub ponownego wprowadzenia aktualnego hasła.

CVE-2023-54365
Wysokie

Podatność w Traefik przed wersją 2.10.5 i 3.0.0-beta4 umożliwia atak DoS przez szybkie tworzenie i anulowanie strumieni HTTP/2 (technika Rapid Reset). Atakujący może wyczerpać zasoby serwera, powodując niedostępność usługi.

CVE-2026-4983
Średnie

Rejestr Open VSX nie sanitizuje plików SVG przesyłanych jako ikony rozszerzeń przed ich zapisaniem, co pozwala na publikację złośliwego rozszerzenia z ikoną SVG. To prowadzi do przechowywanego ataku XSS, gdy użytkownik odwiedza bezpośrednio URL ikony.

CVE-2026-11374
KrytyczneEPSS 65%

W ManageEngine ADSelfService Plus, RecoveryManager Plus, M365 Manager Plus i ADAudit Plus, bilety SSO generowane do uwierzytelnienia sesji mogą być przewidywane przez nieautoryzowanego użytkownika, co prowadzi do przejęcia konta.

CVE-2026-9733
Krytyczne

Wersje Mojolicious::Plugin::Web::Auth::OAuth2 do 0.17 dla Perla mają niebezpieczny domyślny parametr stanu. Brak określonego generatora stanu w konstruktorze skutkuje użyciem hasha SHA-1 z przewidywalnych źródeł, co umożliwia atak CSRF.

CVE-2026-10521
Wysokie

Wysokoprawny atakujący zdalnie może uzyskać dostęp do ukrytej metody konfiguracyjnej, która nie powinna być dostępna dla żadnego użytkownika, aby zmodyfikować krytyczne parametry programu.

CVE-2026-8379
Wysokie

Wtyczka Frontend File Manager dla WordPressa do wersji 23.6 nie wymusza poprawnie sprawdzenia nonce w obsłudze pobierania plików, co pozwala nieautoryzowanym atakującym na pobieranie plików przesłanych przez dowolnego użytkownika.

CVE-2026-8378
Średnie

Wtyczka Frontend File Manager dla WordPressa do wersji 23.6 nie sanitizuje ani nie ucieka od nazwy pliku przesyłanej do punktu końcowego zmiany nazwy pliku, co prowadzi do podatności na przechowywane ataki Cross-Site Scripting.

CVE-2026-8172
Wysokie

Wtyczka Simple Basic Contact Form dla WordPressa do wersji 20250114 nie zabezpiecza danych wejściowych dostarczonych przez użytkowników przed ich wyświetleniem w formularzu kontaktowym w przypadku błędów walidacji, co prowadzi do podatności na Reflected Cross-Site Scripting.

CVE-2026-8163
Wysokie

Wtyczka Infility Global dla WordPressa przed wersją 2.15.19 nieprawidłowo sanitizuje i ucieka niektóre parametry przed ich użyciem w zapytaniach SQL, co prowadzi do podatności na atak typu SQL Injection. Atak ten może być wykorzystany przez uwierzytelnionych użytkowników z dostępem na poziomie Subskrybenta i wyżej.

CVE-2026-7842
Średnie

Wtyczka Infility Global dla WordPressa przed wersją 2.15.20 nie sanitizuje ani nie waliduje parametrów orderby i order w wywołaniach admin page import_list(), url_detail() oraz file_detail(). To umożliwia uwierzytelnionym atakującym z dostępem na poziomie Edytora lub wyższym przeprowadzenie czasowego ślepego ataku SQL i wydobycie wrażliwych danych z bazy danych.

CVE-2026-12866
Krytyczne

Podatność w bibliotece expr-eval umożliwia wykonanie dowolnego kodu JavaScript poprzez API toJSFunction(). Atakujący może dostarczyć spreparowane wyrażenia, które są kompilowane do natywnego kodu za pomocą new Function(), co pozwala na ominięcie zamierzonej piaskownicy wyrażeń i wykonanie dowolnego kodu w kontekście aplikacji.

CVE-2026-55655
Średnie

W OpenSSH wykryto podatność, która pozwala lokalnemu, nieuprzywilejowanemu atakującemu na przejęcie przekazywanych połączeń X11. Atak polega na wcześniejszym związaniu preferowanej abstrakcyjnej nazwy gniazda X, gdy przekazywanie X11 jest włączone i używane jest lokalne gniazdo UNIX. Udany atak może naruszyć poufność przekazywanego ruchu X11, w tym wrażliwą zawartość okien i dane wejściowe.

PoprzedniaStrona 250 z 4548Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS