Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-9639
Średnie

W LXD do wersji 6.8 i 5.21 na systemie Linux występuje podatność polegająca na dereferencji wskaźnika zerowego w funkcji CreateCustomVolumeFromBackup. Uwierzytelniony użytkownik z uprawnieniami can_create_storage_volumes może spowodować odmowę usługi (DoS) poprzez przesłanie specjalnie spreparowanego archiwum kopii zapasowej woluminu niestandardowego, które pomija pole expires_at migawki.

CVE-2026-44018
Średnie

Podatność w bibliotece Docling w wersjach od 2.45.0 do 2.91.0 dotyczy braku kontroli bezpieczeństwa podczas parsowania XML w backendzie METS-GBS oraz wykrywania formatu dokumentów. Atakujący może stworzyć złośliwe archiwa METS-GBS, które po przetworzeniu mogą prowadzić do odczytu wrażliwych plików, wyczerpania zasobów systemowych lub awarii aplikacji.

CVE-2023-20572
Średnie

Podatność w ASP (AMD Secure Processor) umożliwia uprzywilejowanemu atakującemu przeprowadzenie ataku brute-force na kod uwierzytelniania wiadomości (HMAC) z powodu obserwowalnych różnic czasowych. Pozwala to na wprowadzenie dowolnej wiadomości, co może prowadzić do naruszenia integralności danych.

CVE-2026-9699
Średnie

Podatność w pluginach Mattermost w wersjach do 11.6, 10.18.11, 11.3.6 i 11.6.5.0 polega na braku oczyszczania odpowiedzi błędów z API OpenAI przed ich zapisaniem w logach. Umożliwia to użytkownikowi mającemu dostęp do logów serwera lub pakietów wsparcia odczytanie lub częściowe odtworzenie klucza API OpenAI poprzez analizę wpisów w pliku mattermost.log generowanych podczas nieudanych uwierzytelnień.

CVE-2026-57665
Średnie

Podatność typu Insecure Direct Object References (IDOR) w wtyczce GravityView w wersjach do 3.0.0 umożliwia nieuwierzytelnionemu atakującemu dostęp do prywatnych danych. Luka wynika z braku weryfikacji uprawnień przy odwołaniach do obiektów.

CVE-2026-57664
Średnie

Podatność wtyczki Bopo – WooCommerce Product Bundle Builder w wersji 1.1.6 i starszych umożliwia nieuwierzytelnionym atakującym dostęp do wrażliwych danych. Luka wynika z braku odpowiedniego zabezpieczenia endpointów API lub mechanizmów ekspozycji danych.

CVE-2026-57661
Średnie

Wtyczka WPComplete w wersjach do 2.9.5.5 zawiera podatność polegającą na złamaniu kontroli dostępu przez subskrybenta. Użytkownik z rolą subskrybenta może uzyskać nieautoryzowany dostęp do funkcji przeznaczonych dla wyższych ról.

CVE-2026-57660
Średnie

Wtyczka Booking and Rental Manager w wersji 2.7.1 i starszych zawiera lukę umożliwiającą nieuwierzytelnionym atakującym ominięcie kontroli dostępu. Podatność ta pozwala na nieautoryzowany dostęp do funkcji zarządzania rezerwacjami i wynajmem.

CVE-2026-57657
Średnie

Wtyczka Gmail SMTP w wersji 1.2.3.19 i starszych zawiera podatność na nieuwierzytelnione Cross-Site Request Forgery (CSRF). Atakujący może wykorzystać tę lukę do wykonania nieautoryzowanych działań w kontekście zalogowanego administratora.

CVE-2026-57656
Średnie

Podatność typu Cross Site Scripting (XSS) w komponencie Hester Core w wersjach do 1.1.8 włącznie. Umożliwia atakującemu wstrzyknięcie złośliwego kodu JavaScript do strony, co może prowadzić do kradzieży sesji lub przekierowania użytkownika.

CVE-2026-57654
Średnie

Wtyczka Affiliates Manager w wersji 2.9.49 i starszych zawiera podatność związaną z nieskuteczną kontrolą dostępu dla afiliantów. Umożliwia to nieautoryzowanym użytkownikom wykonywanie operacji, do których nie powinni mieć uprawnień.

CVE-2026-57652
Średnie

Podatność IDOR (Insecure Direct Object Reference) w wersjach JS Help Desk do 3.1.0 umożliwia nieuwierzytelnionemu atakującemu bezpośredni dostęp do obiektów, takich jak zgłoszenia czy dane klientów, poprzez manipulację parametrami w żądaniach.

CVE-2026-57651
Średnie

Podatność na atak typu Cross Site Scripting (XSS) w wtyczce Ghost Kit w wersji 3.6.0 i niższych. Luka umożliwia atakującemu wstrzyknięcie złośliwego kodu JavaScript do strony przez funkcjonalność dla współtwórców.

CVE-2026-57650
Średnie

Podatność typu Cross Site Scripting (XSS) w wtyczce Magazine Blocks w wersjach do 1.8.3 umożliwia atakującemu wstrzyknięcie złośliwego kodu JavaScript. Luka występuje w kontekście wkładu (contributor), co oznacza, że może być wykorzystana przez użytkowników z niskimi uprawnieniami.

CVE-2026-57649
Średnie

Wtyczka Shoppable Images Lite w wersji 1.3 i starszych zawiera podatność polegającą na nieprawidłowej kontroli dostępu dla subskrybentów. Użytkownicy z rolą subskrybenta mogą uzyskać nieautoryzowany dostęp do funkcji, które powinny być dla nich zablokowane.

CVE-2026-57648
Średnie

Wtyczka Nelio Content dla WordPressa w wersji 4.3.4 i starszych zawiera podatność polegającą na złamaniu kontroli dostępu przez współautorów. Osoba z rolą współautora może uzyskać nieautoryzowany dostęp do funkcji lub danych, do których nie powinna mieć uprawnień.

CVE-2026-57646
Średnie

Podatność typu Insecure Direct Object References (IDOR) w wtyczce Majestic Support w wersjach do 1.1.7 umożliwia subskrybentom nieautoryzowany dostęp do zasobów innych użytkowników poprzez manipulację identyfikatorami obiektów.

CVE-2026-57641
Średnie

W wersjach Real Estate 7 do 3.5.9 włącznie występuje luka umożliwiająca atak CSRF bez uwierzytelnienia. Atakujący może nakłonić zalogowanego administratora do wykonania niezamierzonych działań w aplikacji.

CVE-2026-57640
Średnie

Wtyczka MasterStudy LMS w wersjach do 3.7.30 zawiera podatność polegającą na złamaniu kontroli dostępu przez subskrybenta. Użytkownik z rolą subskrybenta może uzyskać nieautoryzowany dostęp do funkcji przeznaczonych dla administratorów.

CVE-2026-57638
Średnie

Podatność Cross Site Scripting (XSS) w wtyczce Fluent Booking w wersjach do 2.1.0 umożliwia atakującemu wstrzyknięcie złośliwego kodu JavaScript przez nieprawidłowo filtrowane dane wejściowe od współpracowników.

PoprzedniaStrona 49 z 533Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS