Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
Podatność umożliwia ucieczkę z piaskownicy w komponencie DOM: Workers w przeglądarce Firefox i kliencie pocztowym Thunderbird. Luka została załatana w wersjach Firefox 152, Firefox ESR 140.12, Firefox ESR 115.37, Thunderbird 152 oraz Thunderbird 140.12.
W komponencie WebGPU przeglądarki Firefox i klienta poczty Thunderbird wykryto podatność typu use-after-free. Luka została załatana w wersjach 152 obu aplikacji.
Podatność CVE-2026-40750 w sklepie internetowym themagnifico52 Kids Online Store pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach, co umożliwia przesłanie powłoki sieciowej na serwer WWW.
Wersje GEO my WordPress do 4.5.5 zawierają podatność na nieautoryzowany atak SQL Injection.
W podatności CVE-2026-49774 występuje niewłaściwa kontrola generowania kodu, co prowadzi do możliwości zdalnego wstrzykiwania kodu w aplikacji RD Station. Problem ten dotyczy wersji RD Station od n/a do 5.6.0.
W podatności CVE-2026-49772 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w aplikacji The Events Calendar.
W wersjach InPost Gallery do 2.1.4.6 występuje podatność na nieautoryzowaną injekcję SQL.
W elixir-grpc występują podatności związane z deserializacją nieufnych danych oraz alokacją zasobów bez ograniczeń, które pozwalają nieautoryzowanym atakującym na zablokowanie węzła BEAM poprzez wyczerpanie tabeli atomów oraz na zdalne wykonanie kodu na serwerze.
Wersje Crypt::DSA przed 1.21 dla Perla ponownie używają nonce w podpisach, co prowadzi do możliwości odzyskania klucza prywatnego. Pierwsze wywołanie funkcji sign() na obiekcie klucza wybiera nonce, a każde kolejne wywołanie na tym samym obiekcie wykorzystuje ten sam nonce, co skutkuje identycznym 'r'.
W wersjach przed 3.9.7 biblioteka i18next-http-middleware nie blokowała wariantów kluczy z kropkami, takich jak '__proto__.polluted', co prowadziło do możliwości zdalnego zanieczyszczenia prototypu w aplikacjach korzystających z i18next-fs-backend w wersji ≤ 2.6.5.
Wersje przed 2.6.6 są podatne na zanieczyszczenie prototypu poprzez specjalnie skonstruowane ciągi kluczy brakujących, co może prowadzić do nieautoryzowanego zapisu właściwości na globalnym obiekcie prototypu.
Wersje Socket przed 2.041 dla Perla mają problem z odczytem pamięci poza granicami stosu. Funkcja pack_ip_mreq_source() nieprawidłowo sprawdza długość argumentu źródłowego, co prowadzi do kopiowania pamięci z sąsiednich obszarów w przypadku zbyt krótkiego źródła.
Wersje Dancer2::Plugin::Auth::OAuth przed 0.22 dla Perla domyślnie używają przewidywalnego nonce. Domyślny nonce jest generowany przy użyciu hasha MD5 z czasu epoki, co czyni go przewidywalnym.
W wersjach do 1.1.1 wtyczki Integration for ActiveCampaign oraz formularzy kontaktowych (Contact Form 7, WPForms, Elementor, Ninja Forms) występuje podatność na nieautoryzowaną iniekcję obiektów PHP.
W wersjach FastDup do 2.7.2 występuje podatność na nieautoryzowany atak typu Path Traversal.
Wersje katalogu produktów eCommerce do 3.5.5 zawierają podatność na nieautoryzowaną injekcję SQL.
W wersjach OttoKit <= 1.1.27 występuje podatność na nieautoryzowaną iniekcję obiektów PHP.
Wtyczka GPTranslate w wersjach do 2.32.6 zawiera podatność na nieautoryzowany atak SQL Injection, co pozwala na wykonanie złośliwych zapytań do bazy danych.
W WP Travel Engine w wersjach do 6.7.12 występuje podatność na nieautoryzowaną iniekcję obiektów PHP.
W wpForo Forum w wersjach do 3.1.0 występuje podatność na nieautoryzowaną iniekcję obiektów PHP.

