Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-14209
Średnie

W Keycloak Admin UI wykryto podatność, która pozwala administratorom z ograniczonymi uprawnieniami na ominięcie zabezpieczeń. Gdy włączone są szczegółowe uprawnienia administracyjne (FGAPv2), administrator mający jedynie prawo wyszukiwania użytkowników może użyć endpointu 'brute-force-user', aby uzyskać pełny profil użytkownika, w tym wrażliwe dane i metadane bezpieczeństwa. Problem wynika z braku weryfikacji uprawnienia 'view' dla konkretnego użytkownika przy użyciu tej ścieżki wyszukiwania.

CVE-2026-12388
Średnie

W komponencie mapowania dostawcy tożsamości (IdP) w Keycloak wykryto podatność, która pozwala administratorowi z ograniczonymi uprawnieniami na przypisanie sobie lub innym użytkownikom wysokopoziomowych ról administracyjnych (np. realm-admin) poprzez utworzenie mapowania „Hardcoded Role”. Umożliwia to ominięcie kontroli bezpieczeństwa i przejęcie pełnej kontroli nad całym realmem.

CVE-2026-57082
Średnie

Podatność w bibliotece Net::BitTorrent dla Perla (wersje do 2.0.1) polega na generowaniu 160-bitowego klucza prywatnego Diffie-Hellmana dla uzgadniania MSE przy użyciu nienadającej się do kryptografii funkcji PRNG (rand()). Ponieważ losowe dopełnienie wysyłane w postaci jawnej pochodzi z tego samego generatora, pasywny obserwator może odtworzyć stan PRNG, a następnie klucz prywatny i klucze RC4, co pozwala na odszyfrowanie połączenia.

CVE-2026-57079
Średnie

Podatność w bibliotece Net::BitTorrent dla Perla (do wersji 2.0.1) umożliwia zapisywanie plików poza katalogiem docelowym poprzez manipulację ścieżkami w metadanych dostarczanych przez peer. Atakujący może wykorzystać mechanizm rozszerzenia ut_metadata (BEP09) do przekazania nazw plików zawierających sekwencje "..", które nie są odpowiednio walidowane.

CVE-2026-53692
Średnie

Redeight CMS w wersji 1.0 przechowuje hasła użytkowników przy użyciu algorytmu MD5 bez soli. MD5 jest kryptograficznie przestarzałym algorytmem, a brak soli umożliwia atakującym łatwe odwrócenie skrótów za pomocą tablic tęczowych.

CVE-2026-52760
Średnie

W Apache ActiveMQ i jego konsoli WWW wykryto podatność na atak XSS (Cross-site Scripting). Strona przeglądania kolejek wyświetla identyfikator wiadomości bez odpowiedniej sanityzacji, co pozwala uwierzytelnionemu producentowi wysłać wiadomość z spreparowanym identyfikatorem JMS zawierającym HTML/JavaScript. Gdy administrator przegląda kolejkę w konsoli, kod wykonuje się w jego przeglądarce.

CVE-2026-13316
Średnie

W oprogramowaniu Foreman wykryto podatność polegającą na możliwości modyfikacji parametrów HTTP w kontrolerze http_proxies_controller oraz plikach http_proxy. Atakujący może przeprowadzić atak SSRF i wykraść metadane usług chmurowych w środowiskach AWS, GCP lub Azure.

CVE-2026-6954
Średnie

Podatność Cross-Site Scripting (XSS) w WebControl CMS v3.5 firmy Intermark IT. Atakujący może wykonać kod JavaScript lub wstrzyknąć dynamiczny iframe w przeglądarce ofiary, wysyłając złośliwy URL przez parametr 'urlDestino' w '/portal.do'.

CVE-2026-6953
Średnie

W CMS WebControl v3.5 firmy Intermark IT wykryto podatność na wstrzykiwanie kodu HTML. Atakujący może wysłać ofierze wiadomość e-mail zawierającą złośliwy kod HTML za pomocą formularza kontaktowego. Wykorzystanie podatności wymaga wysłania żądania z parametrami 'nombreApellidos', 'dirección' i 'comentarios' do '/processContact.do'.

CVE-2026-12610
Średnie

W bibliotece SSSD (System Security Services Daemon) wykryto podatność use-after-free w komponencie PAM odpowiedzialnym za uwierzytelnianie za pomocą YubiKey. Błąd wynika z nieprawidłowego zarządzania wskaźnikiem pamięci, co może prowadzić do awarii procesu. Lokalny atakujący może wykorzystać tę lukę poprzez manipulację zawartością karty inteligentnej lub YubiKey.

CVE-2025-24816
Średnie

W produkcie Nokia MantaRay wykryto podatność związaną z nieprawidłową kontrolą dostępu w API. Brak wystarczającej autoryzacji umożliwia uwierzytelnionemu atakującemu odczytanie poufnych informacji wykraczających poza jego uprawnienia.

CVE-2026-45822
Średnie

Biblioteka decode-uri-component w wersji do 0.4.1 jest podatna na atak typu odmowa usługi (DoS). Funkcja decode() dzieli wejście na tokeny według znaku '%', a następnie wywołuje decodeComponents(), co prowadzi do super-liniowego czasu przetwarzania: 200 tokenów '%ab' zajmuje około 0,7s, 700 tokenów około 6s, a 1400 tokenów około 33s. Atakujący może wykorzystać spreparowane dane wejściowe do znacznego obciążenia procesora i zablokowania pętli zdarzeń.

CVE-2026-9576
Średnie

Wtyczka Fluent Booking dla WordPress przed wersją 2.1.2 nie weryfikuje własności żądanego group_id przed eksportem danych uczestników przez endpoint eksportu. Użytkownicy z rolą co najmniej Calendar Manager mogą pobierać dane osobowe (PII) uczestników z grup kalendarza, których nie są właścicielami.

CVE-2026-56809
Średnie

W wielu drukarkach laserowych i urządzeniach wielofunkcyjnych (MFP) implementujących Ricoh Web Image Monitor wykryto podatność na odbity cross-site scripting (XSS). Atakujący może wykorzystać tę lukę do wykonania dowolnego skryptu w przeglądarce użytkownika odwiedzającego Web Image Monitor.

CVE-2026-11581
Średnie

Wtyczka Kali Forms dla WordPressa przed wersją 2.4.13 nie oczyszcza opisu pola formularza przed wyświetleniem go jako nagłówka kolumny na ekranie administratora. Użytkownicy z rolą Współautora lub wyższą mogą wstrzyknąć JavaScript, który wykona się w sesji administratora. Brak kontroli uprawnień w akcji duplikowania wpisów pozwala Współautorowi opublikować złośliwy formularz, który administrator wyświetli.

CVE-2026-8944
Średnie

Wtyczka Plugin for Google Analytics by IO technologies dla WordPressa jest podatna na atak Cross-Site Request Forgery (CSRF) w wersjach do 1.1 włącznie. Brak walidacji tokena nonce na stronie ustawień Google Analytics (ga.php) umożliwia nieuwierzytelnionym atakującym zmianę identyfikatora śledzenia Google Analytics (io-ga-id) poprzez sfałszowane żądanie, pod warunkiem nakłonienia administratora do kliknięcia w link.

CVE-2026-12560
Średnie

Wtyczka Editorial Rating – Product Review & Rating System dla WordPressa do wersji 4.0.5 włącznie zawiera podatność na trwałe ataki XSS przez pole 'Link URL'. Wynika to z niedostatecznego oczyszczania danych wejściowych i braku odpowiedniego kodowania wyjścia, co umożliwia uwierzytelnionym atakującym z uprawnieniami administratora wstrzyknięcie dowolnego kodu JavaScript.

CVE-2026-12349
Średnie

Wtyczka Premium Addons for KingComposer dla WordPressa do wersji 1.1.1 włącznie jest podatna na nieautoryzowaną modyfikację i utratę danych. Brak autoryzacji i kontroli uprawnień w handlerach AJAX add_custom_sidebar() i remove_custom_sidebar() pozwala nieuwierzytelnionym atakującym na tworzenie lub usuwanie niestandardowych obszarów widgetów, co może prowadzić do cichej utraty rejestracji widgetów i ich niewyświetlania.

CVE-2026-11367
Średnie

Wtyczka PixMagix – WordPress Image Editor do WordPressa jest podatna na Directory Traversal we wszystkich wersjach do 1.7.2 włącznie, poprzez funkcję move_image_on_server. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie autora i wyższym zapisywanie plików z dowolną treścią w dowolnych lokalizacjach na serwerze.

CVE-2026-14160
Średnie

W bibliotece Samsung Open Source Escargot wykryto podatność typu TOCTOU (Time-of-check time-of-use) polegającą na wyścigu (race condition). Luka umożliwia wykorzystanie warunków wyścigu do naruszenia integralności danych.

PoprzedniaStrona 26 z 522Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS