Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-53469
Krytyczne

W systemie migration-planner znaleziono lukę, która pozwala uwierzytelnionemu użytkownikowi na wysłanie żądania DELETE do trasy /api/v1/sources, co prowadzi do braku odpowiedniej autoryzacji i filtrowania. To umożliwia zniszczenie wszystkich danych klientów, w tym źródeł, agentów i ocen.

CVE-2026-45558
Krytyczne

Roxy-WI to interfejs webowy do zarządzania serwerami Haproxy, Nginx, Apache i Keepalived. W wersjach 8.2.6.4 i wcześniejszych, punkty końcowe section-save HAProxy akceptują niezweryfikowane pole opcji JSON, co pozwala na wstrzykiwanie dowolnych dyrektyw HAProxy do konfiguracji.

CVE-2026-45556
Krytyczne

Roxy-WI to interfejs webowy do zarządzania serwerami Haproxy, Nginx, Apache i Keepalived. W wersjach 8.2.6.4 i wcześniejszych, pole config_file_name w żądaniu POST /waf/<service>/<server_ip>/rule/<rule_id>/save nie jest odpowiednio walidowane, co pozwala atakującemu na zapisanie pliku w dowolnej lokalizacji na systemie plików load balancera.

CVE-2026-45552
Krytyczne

Roxy-WI to interfejs webowy do zarządzania serwerami Haproxy, Nginx, Apache i Keepalived. W wersjach 8.2.6.4 i wcześniejszych, brak odpowiednich dekoratorów w niektórych punktach końcowych pozwala każdemu zalogowanemu użytkownikowi, w tym domyślnemu gościowi, na instalację i rekonfigurację eksportera, WAF oraz baz danych GeoIP na wszystkich serwerach w bazie danych Roxy-WI.

CVE-2026-45550
Krytyczne

Roxy-WI to interfejs webowy do zarządzania serwerami Haproxy, Nginx, Apache i Keepalived. W wersjach 8.2.6.4 i wcześniejszych, funkcjonalność PUT /smon/check nie weryfikuje, czy identyfikator check_id należy do grupy użytkownika, co pozwala na nieautoryzowane modyfikacje monitorowania innych użytkowników.

CVE-2025-6254
Krytyczne

Wtyczka Doctreat Core dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do 1.6.8 włącznie. Funkcja doctreat_process_registration() nie ogranicza prawidłowo ról, które użytkownik może zarejestrować.

CVE-2026-9067
Krytyczne

Wtyczka Schema & Structured Data for WP & AMP dla WordPressa przed wersją 1.60 nie sprawdza uprawnień użytkowników w swoich handlerach AJAX do przesyłania plików oraz nie weryfikuje rzeczywistej zawartości przesyłanych plików w odniesieniu do zamierzonego typu mediów, co pozwala nieautoryzowanym użytkownikom na przesyłanie dowolnych typów plików akceptowanych przez bibliotekę mediów WordPressa.

CVE-2026-26241
Krytyczne

Zgłoszono podatność typu przepełnienie bufora w File Station 5, która może być wykorzystana przez zdalnych atakujących do modyfikacji pamięci lub awarii procesów.

CVE-2026-26240
Krytyczne

Zgłoszono podatność typu przepełnienia bufora w File Station 5, która może być wykorzystana przez zdalnych atakujących do modyfikacji pamięci lub awarii procesów.

CVE-2025-66276
Krytyczne

Podatność została naprawiona w wersji QTS 5.2.7.3256 build 20250913 i późniejszych. QuTS hero nie jest dotknięty tą podatnością.

CVE-2026-45328
Krytyczne

W komponentach esp_tee w wersjach 5.5.4 i 6.0 frameworka ESF-IDF występuje podatność, która umożliwia nieautoryzowany dostęp do zabezpieczonych usług sprzętowych. Problem ten został naprawiony w wersjach 5.5.5 i 6.0.1.

CVE-2026-44963
KrytyczneEPSS 70%

Podatność umożliwiająca zdalne wykonanie kodu (RCE) na serwerze kopii zapasowej przez uwierzytelnionego użytkownika domeny.

CVE-2026-48303
KrytyczneEPSS 66%

Adobe Campaign Classic (ACC) w wersjach 7.4.3 build 9394 i wcześniejszych jest podatny na lukę związaną z nieprawidłową autoryzacją, co może prowadzić do wykonania dowolnego kodu w kontekście bieżącego użytkownika. Wykorzystanie tej luki nie wymaga interakcji ze strony użytkownika.

CVE-2026-47938
Krytyczne

Adobe Campaign Classic (ACC) w wersjach 7.4.3 build 9394 i wcześniejszych zawiera podatność typu Server-Side Request Forgery (SSRF), która może prowadzić do eskalacji uprawnień. Wykorzystanie tej podatności nie wymaga interakcji użytkownika.

CVE-2026-47928
KrytyczneEPSS 82%

Wersje ColdFusion 2023.19, 2025.8 i wcześniejsze są podatne na lukę związaną z niewłaściwą walidacją danych wejściowych, co może prowadzić do wykonania dowolnego kodu w kontekście aktualnego użytkownika. Wykorzystanie tej luki nie wymaga interakcji ze strony użytkownika.

CVE-2026-36727
Krytyczne

Wersja 8.3 aplikacji bookcars zawiera podatność na niebezpieczną autoryzację w punkcie końcowym /api/social-sign-in, co pozwala atakującym na ominięcie autoryzacji za pomocą sfałszowanego tokena JWT.

CVE-2026-36721
Krytyczne

Brak weryfikacji podpisu kryptograficznego w funkcji validateAccessToken w bookcars v8.3 umożliwia atakującym ominięcie uwierzytelnienia za pomocą sfałszowanego tokena JWT.

CVE-2026-30141
Krytyczne

W wersji 2.2.0 biblioteki bitbank2 AnimatedGIF odkryto problem związany z przepełnieniem bufora w funkcji DecodeLZW. Umożliwia to zdalnym atakującym spowodowanie awarii systemu lub potencjalne wykonanie dowolnego kodu poprzez spreparowany plik GIF.

CVE-2026-10045
Krytyczne

Router firmy Shenzhen Kangda Xin Intelligent Network Technology, model DR300, w wersji 2.1.2.121, zawiera twardo zakodowane dane logowania oraz ma domyślnie włączony telnet na interfejsach WAN i LAN. Te podatności umożliwiają atakującym odczyt i zapis w pamięci, modyfikację oprogramowania układowego, inspekcję aktywnych połączeń oraz przeglądanie aktualnie podłączonych urządzeń.

CVE-2026-34691
Krytyczne

Adobe Experience Manager Forms JEE w wersjach LTS SP1, 6.5.24.0 i wcześniejszych zawiera podatność na przechowywane Cross-Site Scripting (XSS), która może być wykorzystana przez atakującego do wstrzykiwania złośliwych skryptów do podatnych pól formularzy.

PoprzedniaStrona 46 z 558Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS