Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
W narzędziu OpenHuman desktop agent w wersji do 0.54.0 istnieje możliwość obejścia listy dozwolonych poleceń, co pozwala na wykonanie dowolnych poleceń systemowych z uprawnieniami użytkownika pulpitu. Dwa błędy w kodzie umożliwiają atakującemu zdalne wykonanie kodu poprzez wstrzyknięcie złośliwego polecenia.
W podatności CVE-2026-54812 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w motywie StylemixThemes Motors.
Python StateMachine w wersjach od 3.0.0 do 3.2.0 zawiera podatność zdalnego wykonania kodu, która pozwala atakującym na wykonanie dowolnego kodu poprzez dostarczenie złośliwych dokumentów SCXML z spreparowanymi atrybutami `<data expr="...">`.
W podatności CVE-2026-54819 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do podatności na ataki typu Blind SQL Injection w aplikacji Listdom firmy Webilia Inc.
W podatności CVE-2026-54815 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do podatności na Blind SQL Injection w wtyczce Cargo Shipping Location dla WooCommerce.
W podatności CVE-2026-54809 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w aplikacji VillaTheme GIFT4U.
W podatności CVE-2026-54808 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w WP Travel Gutenberg Blocks.
Zdalny atakujący może wstrzykiwać specjalne znaki LDAP do konstrukcji Distinguished Name (DN) w klasie DefaultLdapRealm. Wprowadzone przez użytkownika dane logowania są bezpośrednio łączone z szablonem DN LDAP bez odpowiedniego zabezpieczenia, co umożliwia manipulację strukturą DN używaną do uwierzytelniania LDAP.
Wersje Moderno poniżej 1.43 są podatne na nieautoryzowaną iniekcję obiektów PHP.
Wersje Plumbing do 1.6 zawierają podatność na nieautoryzowaną injekcję obiektów PHP, co może prowadzić do nieautoryzowanego dostępu do systemu.
W wersjach Reisen <= 1.4.1 występuje podatność na nieautoryzowaną iniekcję obiektów PHP.
Podatność na deserializację nieufnych danych w EMV Creatify umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji Creatify od n/a do 1.5.
W podatności CVE-2025-60231 występuje problem deserializacji niezaufanych danych w systemie EMV The Hospital, co pozwala na wstrzyknięcie obiektów.
Podatność na deserializację niezaufanych danych w Themeton The Barber Shop umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji The Barber Shop od n/a do 1.9.
Podatność CVE-2025-60229 dotyczy deserializacji niezaufanych danych w Themeton Lagom, co pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji Lagom od n/a do 2.0.
W wersjach Advanced Ads – Tracking poniżej 3.0.7 występuje nieautoryzowana podatność na wstrzykiwanie SQL.
W WP eMember w wersjach poniżej 10.9.4 występuje podatność na nieautoryzowany atak SQL Injection.
W formularzu rejestracyjnym WooCommerce w wersjach do 1.0.9 występuje podatność na nieautoryzowane podniesienie uprawnień.
Wtyczka WP Activity Log w wersjach do 5.6.3.1 zawiera podatność na nieautoryzowaną iniekcję obiektów PHP.
Wersje SMS Alert Order Notifications do 3.9.4 zawierają lukę, która pozwala na eskalację uprawnień subskrybenta.

