Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-49875
Krytyczne

Podatność w Apache CXF dotyczy klas EndpointReferenceUtils i W3CMultiSchemaFactory, które tworzą SAXParserFactory bez wymaganych konfiguracji zabezpieczających JAXP, co umożliwia rozwiązywanie zewnętrznych encji poza pasmem (OOB).

CVE-2026-11535
Krytyczne

W aplikacji PcSuite występuje podatność na nieautoryzowany dostęp. Atakujący mogą wykorzystać tę podatność do uzyskania nieautoryzowanego dostępu do urządzenia ofiary.

CVE-2026-48611
Krytyczne

Nieprawidłowe kontrole uwierzytelniania w implementacji OAuth umożliwiają przejęcie konta, nawet gdy OAuth nie jest skonfigurowany lub włączony, co prowadzi do nieautoryzowanego dostępu w domyślnych instalacjach.

CVE-2026-47370
Krytyczne

W urządzeniach działających na UniFi OS występuje podatność na niewłaściwą walidację danych wejściowych, która może być wykorzystana przez złośliwego aktora z niskimi uprawnieniami do wykonania ataku typu Command Injection.

CVE-2026-47369
Krytyczne

W urządzeniach działających na UniFi OS występuje podatność związana z niewłaściwą walidacją danych wejściowych, która może być wykorzystana przez złośliwego aktora z niskimi uprawnieniami do eskalacji uprawnień.

CVE-2026-47367
Krytyczne

W UID Enterprise Agent zidentyfikowano podatność na niewłaściwą walidację danych wejściowych, która może być wykorzystana przez złośliwego aktora z dostępem do sieci i niskimi uprawnieniami do wykonania ataku typu Command Injection na urządzeniu gospodarza.

CVE-2026-47365
Krytyczne

W podatności CVE-2026-47365 w WordPress Toolkit przed wersją 6.11.0, używanym w cPanel i WHM, występuje luka związana z wstrzykiwaniem argumentów. Umożliwia to zdalnym, uwierzytelnionym użytkownikom ominięcie autoryzacji między najemcami i wykonywanie dowolnych poleceń CLI wp-toolkit jako inny użytkownik.

CVE-2026-45060
Krytyczne

ClipBucket v5 to otwarta platforma do udostępniania wideo, która przed wersją 5.5.3 - #129 była podatna na ślepą injekcję SQL w punkcie końcowym actions/progress_video.php. Nieautoryzowani użytkownicy mogli wykorzystać parametr ids do wykonywania zapytań SQL i wykradania wrażliwych danych.

CVE-2026-42846
Krytyczne

ClipBucket v5 to otwartoźródłowa platforma do udostępniania wideo. W wersjach przed 5.5.3 - #140, funkcja Remote Play pozwalała na dodawanie wideo przez importowanie zewnętrznego URL, co prowadziło do wykonania dowolnych poleceń systemowych z powodu braku odpowiedniego zabezpieczenia URL.

CVE-2026-49060
Krytyczne

W aplikacji mobilnej Hippoo dla WooCommerce występuje podatność związana z nieprawidłowym przypisaniem uprawnień, co umożliwia eskalację uprawnień.

CVE-2026-42647
KrytyczneEPSS 90%

W podatności CVE-2026-42647 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w aplikacji Beardev JoomSport.

CVE-2026-39494
Krytyczne

Podatność typu SQL Injection w wtyczce Product Filter od WBW umożliwia przeprowadzenie ataku Blind SQL Injection. Problem dotyczy wersji od n/a do 3.1.2.

CVE-2026-12027
Krytyczne

Nieodpowiednia implementacja w trybie Headless w Google Chrome przed wersją 149.0.7827.115 umożliwiła zdalnemu atakującemu, który przejął proces renderowania, potencjalne wykonanie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.

CVE-2026-41005
Krytyczne

Cloud Foundry UAA błędnie traktował szyfrowanie XML jako substytut podpisów XML w dwóch przepływach SAML, co może prowadzić do akceptacji niepodpisanych asercji zawierających zaszyfrowane treści. Problem występuje, gdy wantAssertionSigned jest ustawione na false.

CVE-2026-49973
Krytyczne

Hermes WebUI przed wersją 0.51.358 zawiera podatność na niewłaściwą kontrolę dostępu, która pozwala nieautoryzowanym atakującym zdalnym na przejęcie początkowej konfiguracji poprzez przesłanie parametru _set_password do punktu końcowego API ustawień bez żadnych ograniczeń dotyczących pochodzenia sieciowego.

CVE-2026-47174
Krytyczne

W Duck Site przed wersją 1.0.1 występuje podatność związana z procesem wdrażania, który może zostać uruchomiony przez złośliwy kod w pull request. Atakujący może wykorzystać tę lukę, aby wdrożyć złośliwy obraz Dockera na produkcję bez konieczności scalania kodu.

CVE-2026-47172
Krytyczne

Quest Bot to nowoczesny bot Discord, który przed wersją 1.0.3 miał uprzywilejowany proces wdrażania. Atakujący mógł wykorzystać pull request z gałęzi main, co pozwalało na wdrożenie złośliwego kodu w kontekście uprzywilejowanym.

CVE-2026-45177
Krytyczne

Wersje Idira Secrets Manager SaaS Edge przed 1.8 mają niewłaściwą kontrolę dostępu w swoich wewnętrznych komponentach uwierzytelniania. Zdalny, nieautoryzowany atakujący może wykorzystać to, wysyłając specjalnie przygotowane żądanie, co może prowadzić do obejścia weryfikacji tożsamości.

CVE-2026-49261
KrytyczneEPSS 58%

Podatność w MariaDB Server umożliwia wykonanie dowolnych poleceń powłoki osadzonych w nazwie węzła dołączającego do klastra Galera, gdy opcja `wsrep_notify_cmd` jest włączona. Problem dotyczy wielu wersji MariaDB od 10.6.1 do 12.3.1.

CVE-2026-9648
Krytyczne

Biblioteka Haskell crypton-x509-validation nie egzekwuje ograniczeń nazw X.509, co pozwala klientom TLS akceptować certyfikaty, których alternatywne nazwy podmiotu znajdują się poza dozwolonymi poddrzewami wydającego CA.

PoprzedniaStrona 44 z 558Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS