Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-53903
Wysokie

Podatność IDOR w endpointcie /customer/servlet/mco/webapi/trading-document/fetchPdfStatement umożliwia nieautoryzowany dostęp do dokumentów handlowych innych użytkowników. Brak walidacji uprawnień pozwala na odczyt dokumentów na podstawie identyfikatora, który może być łatwo odgadnięty.

CVE-2026-14181
Wysokie

Podatność w @fastify/middie w wersjach 9.1.0 do 9.3.2 powoduje awarię procesu Node.js przy przetwarzaniu nieprawidłowo zakodowanych sekwencji procentowych w ścieżkach żądań. Błąd występuje tylko przy użyciu samodzielnego silnika API (middie.run), a nie wtyczki Fastify.

CVE-2026-13228
Wysokie

Wtyczka LatePoint dla WordPressa do wersji 5.6.3 zawiera podatność na eskalację uprawnień do administratora. Wynika ona z niebezpiecznego bezpośredniego odwołania do obiektu (IDOR) w funkcji create_or_update() oraz braku weryfikacji roli w OsAuthHelper::authorize_customer(). Uwierzytelniony atakujący z poziomem dostępu Agenta może podmienić adres e-mail dowolnego klienta, w tym powiązanego z kontem administratora, a następnie zalogować się na to konto.

CVE-2026-12142
Wysokie

Wtyczka NEX-Forms dla WordPressa do wersji 9.2.2 włącznie jest podatna na przechowywany atak Cross-Site Scripting (XSS) poprzez parametr tablicy '_name[]'. Brak odpowiedniej sanitizacji wejścia i eskapowania wyjścia umożliwia nieuwierzytelnionym atakującym wstrzyknięcie dowolnych skryptów, które wykonują się przy dostępie do zainfekowanej strony.

CVE-2026-50043
WysokieEPSS 62%

W urządzeniach SkyBridge MB-A100/MB-A110 stwierdzono podatność na wstrzykiwanie poleceń systemu operacyjnego. Luka wynika z nieprawidłowej neutralizacji specjalnych elementów w poleceniach OS.

CVE-2026-12577
Wysokie

Urządzenie DVP80ES3 zawiera podatność polegającą na nieprawidłowo zaimplementowanej kontroli bezpieczeństwa dla standardu. Może to umożliwić atakującemu ominięcie mechanizmów zabezpieczających.

CVE-2026-12576
Wysokie

Urządzenie DVP80ES3 zawiera podatność polegającą na niewłaściwym egzekwowaniu integralności wiadomości podczas transmisji w kanale komunikacyjnym. Oznacza to, że atakujący może modyfikować przesyłane dane bez wykrycia.

CVE-2026-12575
Wysokie

Podatność w DVP80ES3 polega na nieprawidłowym zamykaniu lub zwalnianiu zasobów, co może prowadzić do wycieku pamięci lub innych problemów z wydajnością.

CVE-2026-12224
Wysokie

Wtyczka Dokan Pro dla WordPressa jest podatna na eskalację uprawnień przez REST endpoint update_capabilities w wersjach do 5.0.4 włącznie. Brak walidacji dozwolonych uprawnień pozwala uwierzytelnionym atakującym z dostępem na poziomie Vendor lub wyższym na nadanie dowolnych uprawnień WordPressa, w tym administratora, kontom vendor_staff, co prowadzi do pełnego przejęcia strony.

CVE-2026-12158
Wysokie

Wtyczka RegistrationMagic – User Registration Forms dla WordPressa jest podatna na atak Cross-Site Request Forgery (CSRF) we wszystkich wersjach do 6.0.9.1 włącznie. Brak walidacji nonce w funkcji process_request umożliwia nieuwierzytelnionemu atakującemu eskalację uprawnień dowolnego użytkownika formularza do administratora poprzez utworzenie złośliwego zadania Chronos wykonywanego przez cron WordPressa.

CVE-2026-10538
Wysokie

Podatność w funkcjonalności konsumenta komunikatów w nieobsługiwanych wersjach Control-M/Server i Control-M/Enterprise Manager 9.0.20.x i wcześniejszych umożliwia deserializację danych kontrolowanych przez użytkownika bez wystarczającego ograniczenia dozwolonych typów obiektów. Może to pozwolić uwierzytelnionemu atakującemu na wywołanie niezamierzonego zachowania po stronie serwera poprzez spreparowaną serializowaną zawartość.

CVE-2026-1239
Wysokie

Wtyczka Ninja Forms dla WordPressa jest podatna na nieautoryzowany dostęp do danych z powodu braku sprawdzenia autoryzacji w wywołaniu zwrotnym REST 'ninja-forms-views/token/refresh' we wszystkich wersjach do 3.14.1 włącznie. Umożliwia to nieuwierzytelnionym atakującym przeglądanie przesłanych formularzy, które mogą zawierać wrażliwe informacje.

CVE-2026-14193
Wysokie

Podatność w urządzeniu DVP80ES300T wynika z nieprawidłowej walidacji indeksu tablicy, co może umożliwić atakującemu wykonanie kodu lub spowodowanie awarii systemu.

CVE-2026-12579
Wysokie

Urządzenie AS228T zawiera podatność umożliwiającą obejście uwierzytelniania. Atakujący może uzyskać nieautoryzowany dostęp do systemu bez znajomości prawidłowych poświadczeń.

CVE-2026-11883
Wysokie

Wtyczka WebAuthn Provider for Two Factor dla WordPressa przed wersją 2.5.6 nieprawidłowo weryfikuje odpowiedź uwierzytelniania drugiego czynnika, co pozwala atakującemu znającemu hasło użytkownika na ominięcie wymogu uwierzytelniania dwuskładnikowego poprzez przesłanie zniekształconego żądania.

CVE-2026-11823
Wysokie

Wtyczka BookingPress Appointment Booking Pro dla WordPressa do wersji 5.7.1 włącznie zawiera podatność na iniekcję SQL w parametrze 'store_service_date' funkcji bpa_assign_staffmember_to_slots(). Problem wynika z użycia stripslashes_deep() na danych POST bez przygotowania zapytania przez $wpdb->prepare(), co pozwala nieuwierzytelnionym atakującym na dołączanie dodatkowych zapytań SQL.

CVE-2026-11794
Wysokie

Wtyczka Advanced Form Integration dla WordPress przed wersją 2.1.1 nie ogranicza roli WordPress przypisywanej podczas tworzenia użytkownika z publicznego formularza. Umożliwia to niezalogowanym odwiedzającym utworzenie konta administratora, jeśli aktywna integracja mapuje rolę użytkownika na publiczne pole formularza, co wymaga specyficznej, niestandardowej konfiguracji.

CVE-2026-11568
Wysokie

Wtyczka Product Configurator for WooCommerce dla WordPressa przed wersją 1.7.3 nie przeprowadza autoryzacji ani nie sprawdza statusu publikacji przed zwróceniem danych produktów WooCommerce przez publiczną akcję AJAX. Umożliwia to nieuwierzytelnionym użytkownikom pobranie danych (tytuł, cena, waga, status magazynowy oraz opcje konfiguratora z cenami/SKU) prywatnych i szkicowych produktów poprzez podanie ich identyfikatora, omijając kontrolę widoczności postów WordPress.

CVE-2026-10750
Wysokie

Wtyczka Royal MCP dla WordPress przed wersją 1.4.26 nie sprawdza uprawnień dla większości swoich narzędzi MCP po uwierzytelnieniu tokenem, co pozwala uwierzytelnionym użytkownikom z niskimi uprawnieniami, takim jak Subskrybent, na odczytywanie prywatnych treści, wyliczanie wszystkich użytkowników i ich ról oraz tworzenie, modyfikowanie lub usuwanie treści należących do innych użytkowników.

CVE-2026-7838
WysokieEPSS 63%

W UltraVNC viewer do wersji 1.8.2.2 wykryto przepełnienie liczby całkowitej prowadzące do przepełnienia bufora sterty w ścieżce parsowania odpowiedzi protokołu RFB. Pole reasonLen o rozmiarze 4 bajtów (typ CARD32) jest przekazywane jako reasonLen+1 do funkcji CheckBufferSize(), co przy wartości 0xFFFFFFFF powoduje przepełnienie do 0 i alokację tylko 256 bajtów, a następnie odczyt 4 GiB danych do tego bufora. Podatność jest osiągalna bez uwierzytelnienia przez typy wiadomości rfbConnFailed i rfbVncAuthFailed.

PoprzedniaStrona 32 z 3348Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS