Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-10580
Krytyczne

Wtyczka Hippoo Mobile App dla WooCommerce w WordPressie jest podatna na obejście uwierzytelnienia, co prowadzi do przejęcia konta administratora we wszystkich wersjach do i włącznie z 1.9.4. Problem wynika z błędu logicznego w funkcji HippooPermissions::get_user_permissions(), która zwraca ten sam null dla administratorów i niezautoryzowanych użytkowników.

CVE-2026-45750
Krytyczne

Termix to platforma zarządzania serwerem, która przed wersją 2.3.2 miała lukę w komponencie Menedżer plików, gdzie parametr ścieżki był niebezpiecznie przetwarzany. To umożliwiało wykonanie poleceń powłoki przez złośliwych użytkowników w aktywnej sesji SSH.

CVE-2026-45748
Krytyczne

Termix to platforma zarządzania serwerami oparta na sieci web, która przed wersją 2.3.2 miała lukę w punkcie końcowym `POST /ssh/tunnel/connect`. Luka ta pozwalała na wstrzyknięcie poleceń systemowych poprzez interpolację pól kontrolowanych przez użytkownika w poleceniu powłoki.

CVE-2026-45746
Krytyczne

Termix to platforma zarządzania serwerami, która przed wersją 2.3.2 zawierała krytyczną podatność na złamanie kontroli dostępu w funkcjonalności Menedżera Plików. Problem wynikał z niewłaściwej walidacji parametru sessionId, co pozwalało atakującemu na dostęp do sesji Menedżera Plików innych użytkowników.

CVE-2026-45744
Krytyczne

Termix to platforma zarządzania serwerem oparta na sieci, która przed wersją 2.3.2 była podatna na wstrzykiwanie poleceń systemowych w punkcie końcowym GET /ssh/file_manager/ssh/resolvePath. Umożliwia to uwierzytelnionym użytkownikom wykonanie dowolnych poleceń na zdalnym hoście.

CVE-2026-36500
Krytyczne

W składniku cluster-admin:backup-datastore w wersji Controller v12.0.5 występuje problem, który umożliwia atakującym wykonanie ataku typu directory traversal za pomocą spreparowanego żądania.

CVE-2025-71318
Krytyczne

NetMan 204 nie wymusza uwierzytelniania na swoich stronach administracyjnych i punktach końcowych komend. Zdalny, nieautoryzowany atakujący może bezpośrednio żądać stron administracyjnych, co prowadzi do ujawnienia wrażliwych informacji oraz możliwości wywołania uprzywilejowanych komend kontrolnych UPS.

CVE-2025-71317
Krytyczne

NetMan 204 zawiera twardo zakodowane konto backdoor z nazwą użytkownika i hasłem 'eurek', które przyznaje dostęp administracyjny. Zdalny, nieautoryzowany atakujący może uwierzytelnić się przez punkt końcowy cgi-bin/login.cgi, co pozwala na uzyskanie uprawnień administratora.

CVE-2026-9270
Krytyczne

Wersje DataDog::DogStatsd do 0.07 dla Perla pozwalają na wstrzykiwanie metryk z powodu niewłaściwego sanitizowania danych wejściowych. Metoda send_stats nie usuwa nowych linii z nazw metryk, co umożliwia atakującym zmianę prefiksu nazwy metryki.

CVE-2026-11362
Krytyczne

Wersje DataDog::DogStatsd do 0.07 dla Perla pozwalają na wstrzykiwanie metryk z tagów zdarzeń. Metoda format_event nie waliduje zawartości tagów, co umożliwia wstrzykiwanie danych z niezaufanych źródeł.

CVE-2026-10879
Krytyczne

Wersje DBI przed 1.648 dla Perla mają podatność na przepełnienie sterty podczas wstępnego przetwarzania zapytań SQL z więcej niż 9 binderami. Metoda preparse rozszerza znaki zastępcze SQL na ponumerowane bindery, ale alokuje tylko trzy znaki na binder w buforze.

CVE-2026-6274
Krytyczne

W systemie Redline WR3200 występuje luka związana z niewłaściwą autoryzacją, która pozwala na dostęp do funkcji nieodpowiednio zabezpieczonych przez listy kontroli dostępu (ACL). Problem dotyczy wersji od 7.1.3 do przed 7.1.8.

CVE-2026-49777
Krytyczne

W podatności CVE-2026-49777 występuje niewłaściwa walidacja określonej ilości w wejściu w wtyczce Product Slider Pro dla WooCommerce, co umożliwia złośliwemu oprogramowaniu implantację.

CVE-2026-48907
KrytyczneAktywnie exploitowaneEPSS 91%

Podatność w rozszerzeniu edytora JCE dla Joomla umożliwia tworzenie nowych profili edytora przez nieautoryzowanych użytkowników, co prowadzi do możliwości przesyłania i wykonywania kodu PHP.

CVE-2026-7763
Krytyczne

Występuje podatność typu przepełnienie bufora w sterowniku jądra morse.ko w oprogramowaniu Morse Micro HaLowLink 2 w wersjach przed 2.11.13. Umożliwia to nieautoryzowanemu atakującemu w zasięgu radiowym spowodowanie awarii systemu (kernel panic) lub potencjalne zdalne wykonanie kodu poprzez spreparowaną ramkę beacona 802.11ah zawierającą nieprawidłowy element informacji o mapie wskazania ruchu (TIM).

CVE-2026-7762
Krytyczne

W podatności typu przepełnienie bufora w sterowniku jądra dot11ah.ko w oprogramowaniu Morse Micro HaLowLink 2 przed wersją 2.11.13, nieautoryzowany atakujący w zasięgu radiowym może spowodować awarię systemu (kernel panic) lub potencjalnie uzyskać zdalne wykonanie kodu poprzez spreparowany sygnał 802.11ah. Wykorzystuje to nieprawidłowe pole długości IE w funkcji morse_dot11ah_find_s1g_caps_for_bssid().

CVE-2026-11293
Krytyczne

W Google Chrome przed wersją 149.0.7827.53 wystąpiła podatność typu use after free w module Input, która mogła umożliwić zdalnemu atakującemu potencjalne wykonanie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.

CVE-2026-11282
Krytyczne

Niewystarczające egzekwowanie polityki w Sandbox w Google Chrome na systemie Linux przed wersją 149.0.7827.53 umożliwia zdalnemu atakującemu potencjalne wykonanie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.

CVE-2026-11250
Krytyczne

Nieodpowiednia implementacja w DevTools w Google Chrome przed wersją 149.0.7827.53 umożliwiała zdalnemu atakującemu, który przejął proces renderowania, uzyskanie potencjalnie wrażliwych informacji z pamięci procesu za pomocą spreparowanej strony HTML.

CVE-2026-48579
Krytyczne

Nieprawidłowa autoryzacja w Microsoft Exchange Online umożliwia nieautoryzowanemu atakującemu ujawnienie informacji w sieci.

PoprzedniaStrona 51 z 558Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS