Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
W bibliotece PcapPlusPlus 25.05 odkryto podatność w funkcji pcpp::ModbusLayer::getLength w pliku ModbusLayer.h. Manipulacja argumentem długości prowadzi do przepełnienia bufora sterty, co może być zdalnie wykorzystane przez atakującego.
W bibliotece PcapPlusPlus 25.05 w funkcji pcpp::TelnetLayer::getSubCommand pliku TelnetLayer.cpp występuje podatność na przepełnienie bufora sterty. Atak może być przeprowadzony zdalnie, ale jest trudny do wykorzystania. Exploit jest publicznie dostępny.
W bibliotece PcapPlusPlus 25.05 w funkcji pcpp::SSLClientHelloMessage::getHandshakeVersion pliku SSLHandshake.cpp wykryto podatność na przepełnienie bufora sterty. Atakujący może zdalnie manipulować argumentem handshakeVersion, co prowadzi do przepełnienia bufora. Złożoność ataku jest wysoka, a jego wykorzystanie uznawane za trudne, jednak exploit został publicznie ujawniony.
Podatność przepełnienia bufora stosu w interfejsie zarządzania sieciowego routera TP-Link TL-WR841N v14 umożliwia uwierzytelnionemu atakującemu zdalne spowodowanie awarii urządzenia poprzez wysłanie spreparowanego żądania HTTP. Skuteczne wykorzystanie prowadzi do odmowy usługi (DoS), powodując crash i automatyczny restart urządzenia.
W wersjach Snowflake CLI starszych niż 3.19 poufne dane uwierzytelniające (hasła, tokeny, klucze prywatne) były zapisywane w postaci jawnej do lokalnych plików dziennika debugowania. Atakujący z dostępem do tych plików mógł przejąć dane logowania.
Podatność w Snowflake CLI przed wersją 3.19 umożliwiała odczyt dowolnych plików lokalnych i przesłanie ich do usług Snowflake. Atakujący mógł wykorzystać to przez dostarczenie spreparowanej treści repozytorium lub projektu, która odwoływała się do plików poza zamierzonym katalogiem projektu.
Podatność w Honeywell IQ MultiAccess (wersje do 28 włącznie) wynika z nieprawidłowej weryfikacji podpisu cyfrowego. Umożliwia ona atakującemu podmianę pobieranego pliku na złośliwy.
W urządzeniu Edimax EW-7478APC w wersji 1.04 wykryto podatność polegającą na wstrzykiwaniu poleceń systemu operacyjnego. Problem występuje w funkcji formStaDrvSetup w pliku /goform/formStaDrvSetup, gdzie argument rootAPmac jest nieprawidłowo filtrowany. Atak może być przeprowadzony zdalnie, a exploit jest publicznie dostępny.
W Devolutions PowerShell Universal 2026.2.0 wykryto podatność polegającą na wstawianiu wrażliwych informacji do wysyłanych danych w API zadań AI Agenta. Uwierzytelniony użytkownik z dostępem do odczytu AI Agenta może uzyskać wielokrotnego użytku tokeny uwierzytelniające o potencjalnie wyższych uprawnieniach, które są serializowane w postaci jawnego tekstu w odpowiedziach API zadań.
Wtyczka Colissimo Officiel : Méthodes de livraison pour WooCommerce w wersji 2.9.0 i niższych zawiera podatność na nieuwierzytelnione niebezpieczne bezpośrednie odwołania do obiektów (IDOR). Umożliwia to atakującemu bez logowania dostęp do wrażliwych danych lub operacji poprzez manipulację identyfikatorami obiektów.
Wtyczka Japanized For WooCommerce w wersji 2.9.12 i starszych zawiera lukę umożliwiającą nieuwierzytelnionym atakującym ominięcie kontroli dostępu. Podatność ta pozwala na nieautoryzowany dostęp do funkcji administracyjnych bez wymaganego uwierzytelnienia.
Wtyczka Business Directory w wersji 6.4.23 i starszych zawiera lukę umożliwiającą nieuwierzytelnionym atakującym ominięcie kontroli dostępu. Podatność ta pozwala na nieautoryzowany dostęp do funkcji administracyjnych bez wymaganego uwierzytelnienia.
Wtyczka Ads by WPQuads w wersji 3.0.3 i starszych zawiera podatność polegającą na złamaniu kontroli dostępu przez subskrybenta. Oznacza to, że użytkownik z rolą subskrybenta może uzyskać nieautoryzowany dostęp do funkcji reklamowych.
Wtyczka WP User Frontend w wersjach do 4.3.7 zawiera lukę umożliwiającą nieuwierzytelnionym atakującym ominięcie kontroli dostępu. Podatność ta pozwala na nieautoryzowany dostęp do funkcji przeznaczonych dla zalogowanych użytkowników.
Podatność Cross Site Scripting (XSS) wtyczki MasterStudy LMS w wersji 3.7.27 i starszych umożliwia atakującemu o roli subskrybenta wstrzyknięcie złośliwego skryptu. Może to prowadzić do kradzieży sesji lub przekierowania użytkownika na niebezpieczną stronę.
Wtyczka WooCommerce Designer Pro w wersji 1.9.34 i starszych zawiera podatność na atak typu Cross Site Scripting (XSS) z poziomu subskrybenta. Umożliwia ona atakującemu z rolą subskrybenta wstrzyknięcie złośliwego kodu JavaScript do strony.
Wtyczka Business Directory w wersji 6.4.22 i starszych zawiera podatność na atak XSS (Cross Site Scripting) z poziomu subskrybenta. Umożliwia ona wstrzyknięcie złośliwego kodu JavaScript przez uwierzytelnionego użytkownika o roli subskrybenta.
Wtyczka MainWP dla WordPressa w wersji 6.1.1 i starszych zawiera podatność polegającą na złamaniu kontroli dostępu przez subskrybenta. Użytkownik z rolą subskrybenta może uzyskać nieautoryzowany dostęp do funkcji przeznaczonych dla administratorów.
Wtyczka Business Directory w wersji 6.4.22 i starszych zawiera podatność na nieuwierzytelniony atak typu Cross Site Scripting (XSS). Atakujący może wstrzyknąć złośliwy kod JavaScript bez konieczności logowania.
Claude Code w wersjach od 2.1.59 do 2.1.128 zapisuje odpowiedzi z komendy /copy do pliku /tmp/claude/response.md bez izolacji UID, losowości ani ochrony przed dowiązaniami symbolicznymi. Plik jest tworzony z uprawnieniami 0644 w katalogu o uprawnieniach 0755, co umożliwia każdemu lokalnemu użytkownikowi odczytanie odpowiedzi zawierających potencjalnie wrażliwe dane.

