Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-13245
Średnie

Wtyczka MaxButtons dla WordPressa do wersji 9.8.5 włącznie zawiera podatność na odbite ataki XSS przez parametr 'view'. Brak odpowiedniego oczyszczania danych wejściowych i wyjściowych umożliwia atakującym wstrzyknięcie dowolnego kodu JavaScript.

CVE-2026-12404
Średnie

Wtyczka NEX-Forms dla WordPressa do wersji 9.2.2 włącznie zawiera podatność na pominięcie autoryzacji. Niezalogowani atakujący mogą wyliczyć sekwencyjne identyfikatory raportów i pobrać pełne dane przesłanych formularzy, w tym nazwiska, adresy e-mail, numery telefonów, adresy pocztowe, dane płatności i ścieżki przesłanych plików.

CVE-2026-13422
Średnie

Wtyczka HD Quiz dla WordPressa w wersjach od 2.2.0 do 2.2.1 jest podatna na ataki Cross-Site Request Forgery (CSRF) z powodu braku lub nieprawidłowej walidacji tokena nonce w funkcji hdq_validate_nonce. Niezautoryzowany atakujący może wykorzystać tę lukę do usuwania lub modyfikowania quizów i pytań, tworzenia nowych quizów oraz zmiany ustawień wtyczki, pod warunkiem że nakłoni administratora witryny do wykonania akcji, np. kliknięcia w link.

CVE-2026-13335
Średnie

Wtyczka Post Map for Google Maps dla WordPressa do wersji 1.2.6 włącznie zawiera podatność na trwałe ataki XSS poprzez pole 'cpm_point' Post Meta. Wynika to z niedostatecznego oczyszczania danych wejściowych i braku odpowiedniego kodowania wyjścia.

CVE-2026-13333
Średnie

Wtyczka Groundhogg dla WordPressa (wersje do 4.5.5) zawiera podatność na ogólne wstrzykiwanie SQL przez parametr 'query[select]'. Brak odpowiedniego escapowania i przygotowania zapytań SQL umożliwia uwierzytelnionym atakującym z dostępem na poziomie przedstawiciela handlowego lub wyższym do dołączania dodatkowych zapytań SQL, co może prowadzić do wycieku wrażliwych danych z bazy.

CVE-2026-13331
Średnie

Wtyczka Groundhogg dla WordPressa (CRM, newslettery i automatyzacja marketingu) w wersjach do 4.5.5 włącznie zawiera podatność na ogólne wstrzykiwanie SQL przez parametr 'search'. Problem wynika z niedostatecznego escapowania danych wejściowych i braku odpowiedniego przygotowania zapytań SQL.

CVE-2026-11356
Średnie

Wtyczka Ivory Search dla WordPressa do wersji 5.5.15 włącznie jest podatna na trwałe ataki XSS przez parametry 'menu_title' i 'menu_magnifier_color'. Luka wynika z niedostatecznego oczyszczania danych wejściowych i braku odpowiedniego kodowania wyjścia.

CVE-2025-59868
Średnie

Podatność w HCL Traveler for Microsoft Outlook (HTMO) umożliwia nieautoryzowany dostęp do wrażliwych danych aplikacji, co może zostać wykorzystane przez atakującego do przeprowadzenia dalszych ataków i wywołania nieprzewidzianego zachowania aplikacji.

CVE-2026-53577
Średnie

W Kestra przed wersjami 1.0.45 i 1.3.21 endpoint previewFileFromExecution (GET /api/v1/{tenant}/executions/{executionId}/file/preview) zawiera obejście kontroli dostępu, umożliwiając każdemu uwierzytelnionemu użytkownikowi odczyt plików wyjściowych z dowolnego wykonania w obrębie tego samego dzierżawcy, z pominięciem izolacji na poziomie wykonania i przestrzeni nazw.

CVE-2026-50767
Średnie

W systemie Koha Library Management System w wersjach od 0 do 25.11 wykryto podatność na trwały atak XSS. Umożliwia ona uwierzytelnionemu zdalnemu atakującemu z uprawnieniami administratora wstrzyknięcie dowolnego skryptu przez pole komunikatu przy odbiorze typu egzemplarza.

CVE-2026-50766
Średnie

W systemie Koha Library Management System w wersjach od 0 do 25.11 wykryto podatność na trwałe cross-site scripting (XSS) na stronie szczegółów egzemplarza w module OPAC. Uwierzytelniony atakujący z uprawnieniami edit_items może wstrzyknąć dowolny kod JavaScript poprzez pole publicznych notatek egzemplarza (items.itemnotes).

CVE-2026-50765
Średnie

W systemie Koha Library Management System w wersjach od 0 do 25.11 odkryto podatność na trwałe XSS w panelu administracyjnym typów ograniczeń dla czytelników. Umożliwia ona uwierzytelnionemu zdalnemu atakującemu z uprawnieniami administratora wstrzyknięcie dowolnego skryptu przez pole etykiety typu ograniczenia (display_text).

CVE-2026-38571
Średnie

W nieuwierzytelnionej konsoli debugowania UART routera Tenda N300 F3 (wersja V603) dane uwierzytelniające WPA2 są przechowywane i udostępniane w postaci jawnego tekstu, a polecenia odczytu/zapisu pamięci (rr/wr) nie wymagają autoryzacji. Fizycznie bliski atakujący może uzyskać te dane oraz dowolnie odczytywać lub zapisywać pamięć przez port szeregowy.

CVE-2026-36908
Średnie

W bibliotece Bento4 przed wersją 1.8.9 wykryto przepełnienie stosu w komponencie AP4_Array<AP4_TrunAtom::Entry>::EnsureCapacity. Atakujący może wykorzystać tę podatność, dostarczając spreparowany plik MP4, co prowadzi do odmowy usługi (DoS).

CVE-2026-36907
Średnie

W bibliotece Bento4 przed wersją 1.8.9 wykryto przepełnienie stosu w komponencie AP4_StsdAtom::AP4_StsdAtom. Atakujący może wykorzystać tę podatność, dostarczając spreparowany plik MP4, co prowadzi do odmowy usługi (DoS).

CVE-2026-52885
Średnie

W Notepad++ przed wersją 8.9.6.4 występuje podatność TOCTOU (Time-of-Check Time-of-Use) w obsłudze pliku shortcuts.xml. Sprawdzanie HMAC odbywa się w momencie wykonania polecenia, ale dane polecenia są pobierane z pamięci, która nie jest synchronizowana z plikiem na dysku. Atakujący może podmienić plik przed uruchomieniem, a następnie przywrócić oryginalny, co pozwala na wykonanie złośliwego polecenia.

CVE-2026-48770
Średnie

Notepad++ przed wersją 8.9.6.1 zawiera podatność polegającą na nieprawidłowym przetwarzaniu wiadomości WM_COPYDATA. Lokalny proces w tej samej sesji Windows może wysłać spreparowaną wiadomość, która nie sprawdza długości danych, co może prowadzić do przepełnienia bufora.

CVE-2026-39031
Średnie

Podatność w Lansweeper lsrunase 2.0 i lsencrypt 2.0 polega na użyciu szyfrowania RC4 z zakodowanym na stałe 142-bajtowym kluczem. Ośmioznakowy prefiks jest przechowywany w postaci jawnej obok szyfrogramu, co umożliwia lokalnemu atakującemu odzyskanie hasła w postaci jawnej bez konieczności brute force.

CVE-2024-23581
Średnie

Biblioteki HCL Traveler dla Microsoft Outlook są fałszywie oznaczane jako potencjalnie złośliwe oprogramowanie lub nierozpoznana aplikacja. Może to prowadzić do blokowania instalacji lub działania oprogramowania przez systemy bezpieczeństwa.

CVE-2026-55838
Średnie

W RustFS w wersji 1.0.0-beta.7 i wcześniejszych, endpoint metryk czasu rzeczywistego /rustfs/admin/v3/metrics jest dostępny dla każdego prawidłowego użytkownika IAM, niezależnie od przypisanej mu polityki. Pominięto wywołanie funkcji validate_admin_request, co pozwala ograniczonym użytkownikom na odczyt wrażliwych danych operacyjnych całego klastra.

PoprzedniaStrona 45 z 534Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS