Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
Podatność w Apache CXF dotyczy klas EndpointReferenceUtils i W3CMultiSchemaFactory, które tworzą SAXParserFactory bez wymaganych konfiguracji zabezpieczających JAXP, co umożliwia rozwiązywanie zewnętrznych encji poza pasmem (OOB).
W aplikacji PcSuite występuje podatność na nieautoryzowany dostęp. Atakujący mogą wykorzystać tę podatność do uzyskania nieautoryzowanego dostępu do urządzenia ofiary.
Nieprawidłowe kontrole uwierzytelniania w implementacji OAuth umożliwiają przejęcie konta, nawet gdy OAuth nie jest skonfigurowany lub włączony, co prowadzi do nieautoryzowanego dostępu w domyślnych instalacjach.
W urządzeniach działających na UniFi OS występuje podatność na niewłaściwą walidację danych wejściowych, która może być wykorzystana przez złośliwego aktora z niskimi uprawnieniami do wykonania ataku typu Command Injection.
W urządzeniach działających na UniFi OS występuje podatność związana z niewłaściwą walidacją danych wejściowych, która może być wykorzystana przez złośliwego aktora z niskimi uprawnieniami do eskalacji uprawnień.
W UID Enterprise Agent zidentyfikowano podatność na niewłaściwą walidację danych wejściowych, która może być wykorzystana przez złośliwego aktora z dostępem do sieci i niskimi uprawnieniami do wykonania ataku typu Command Injection na urządzeniu gospodarza.
W podatności CVE-2026-47365 w WordPress Toolkit przed wersją 6.11.0, używanym w cPanel i WHM, występuje luka związana z wstrzykiwaniem argumentów. Umożliwia to zdalnym, uwierzytelnionym użytkownikom ominięcie autoryzacji między najemcami i wykonywanie dowolnych poleceń CLI wp-toolkit jako inny użytkownik.
ClipBucket v5 to otwarta platforma do udostępniania wideo, która przed wersją 5.5.3 - #129 była podatna na ślepą injekcję SQL w punkcie końcowym actions/progress_video.php. Nieautoryzowani użytkownicy mogli wykorzystać parametr ids do wykonywania zapytań SQL i wykradania wrażliwych danych.
ClipBucket v5 to otwartoźródłowa platforma do udostępniania wideo. W wersjach przed 5.5.3 - #140, funkcja Remote Play pozwalała na dodawanie wideo przez importowanie zewnętrznego URL, co prowadziło do wykonania dowolnych poleceń systemowych z powodu braku odpowiedniego zabezpieczenia URL.
W aplikacji mobilnej Hippoo dla WooCommerce występuje podatność związana z nieprawidłowym przypisaniem uprawnień, co umożliwia eskalację uprawnień.
W podatności CVE-2026-42647 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w aplikacji Beardev JoomSport.
Podatność typu SQL Injection w wtyczce Product Filter od WBW umożliwia przeprowadzenie ataku Blind SQL Injection. Problem dotyczy wersji od n/a do 3.1.2.
Nieodpowiednia implementacja w trybie Headless w Google Chrome przed wersją 149.0.7827.115 umożliwiła zdalnemu atakującemu, który przejął proces renderowania, potencjalne wykonanie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.
Cloud Foundry UAA błędnie traktował szyfrowanie XML jako substytut podpisów XML w dwóch przepływach SAML, co może prowadzić do akceptacji niepodpisanych asercji zawierających zaszyfrowane treści. Problem występuje, gdy wantAssertionSigned jest ustawione na false.
Hermes WebUI przed wersją 0.51.358 zawiera podatność na niewłaściwą kontrolę dostępu, która pozwala nieautoryzowanym atakującym zdalnym na przejęcie początkowej konfiguracji poprzez przesłanie parametru _set_password do punktu końcowego API ustawień bez żadnych ograniczeń dotyczących pochodzenia sieciowego.
W Duck Site przed wersją 1.0.1 występuje podatność związana z procesem wdrażania, który może zostać uruchomiony przez złośliwy kod w pull request. Atakujący może wykorzystać tę lukę, aby wdrożyć złośliwy obraz Dockera na produkcję bez konieczności scalania kodu.
Quest Bot to nowoczesny bot Discord, który przed wersją 1.0.3 miał uprzywilejowany proces wdrażania. Atakujący mógł wykorzystać pull request z gałęzi main, co pozwalało na wdrożenie złośliwego kodu w kontekście uprzywilejowanym.
Wersje Idira Secrets Manager SaaS Edge przed 1.8 mają niewłaściwą kontrolę dostępu w swoich wewnętrznych komponentach uwierzytelniania. Zdalny, nieautoryzowany atakujący może wykorzystać to, wysyłając specjalnie przygotowane żądanie, co może prowadzić do obejścia weryfikacji tożsamości.
Podatność w MariaDB Server umożliwia wykonanie dowolnych poleceń powłoki osadzonych w nazwie węzła dołączającego do klastra Galera, gdy opcja `wsrep_notify_cmd` jest włączona. Problem dotyczy wielu wersji MariaDB od 10.6.1 do 12.3.1.
Biblioteka Haskell crypton-x509-validation nie egzekwuje ograniczeń nazw X.509, co pozwala klientom TLS akceptować certyfikaty, których alternatywne nazwy podmiotu znajdują się poza dozwolonymi poddrzewami wydającego CA.

