Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
Wtyczka Hippoo Mobile App dla WooCommerce w WordPressie jest podatna na obejście uwierzytelnienia, co prowadzi do przejęcia konta administratora we wszystkich wersjach do i włącznie z 1.9.4. Problem wynika z błędu logicznego w funkcji HippooPermissions::get_user_permissions(), która zwraca ten sam null dla administratorów i niezautoryzowanych użytkowników.
Termix to platforma zarządzania serwerem, która przed wersją 2.3.2 miała lukę w komponencie Menedżer plików, gdzie parametr ścieżki był niebezpiecznie przetwarzany. To umożliwiało wykonanie poleceń powłoki przez złośliwych użytkowników w aktywnej sesji SSH.
Termix to platforma zarządzania serwerami oparta na sieci web, która przed wersją 2.3.2 miała lukę w punkcie końcowym `POST /ssh/tunnel/connect`. Luka ta pozwalała na wstrzyknięcie poleceń systemowych poprzez interpolację pól kontrolowanych przez użytkownika w poleceniu powłoki.
Termix to platforma zarządzania serwerami, która przed wersją 2.3.2 zawierała krytyczną podatność na złamanie kontroli dostępu w funkcjonalności Menedżera Plików. Problem wynikał z niewłaściwej walidacji parametru sessionId, co pozwalało atakującemu na dostęp do sesji Menedżera Plików innych użytkowników.
Termix to platforma zarządzania serwerem oparta na sieci, która przed wersją 2.3.2 była podatna na wstrzykiwanie poleceń systemowych w punkcie końcowym GET /ssh/file_manager/ssh/resolvePath. Umożliwia to uwierzytelnionym użytkownikom wykonanie dowolnych poleceń na zdalnym hoście.
W składniku cluster-admin:backup-datastore w wersji Controller v12.0.5 występuje problem, który umożliwia atakującym wykonanie ataku typu directory traversal za pomocą spreparowanego żądania.
NetMan 204 nie wymusza uwierzytelniania na swoich stronach administracyjnych i punktach końcowych komend. Zdalny, nieautoryzowany atakujący może bezpośrednio żądać stron administracyjnych, co prowadzi do ujawnienia wrażliwych informacji oraz możliwości wywołania uprzywilejowanych komend kontrolnych UPS.
NetMan 204 zawiera twardo zakodowane konto backdoor z nazwą użytkownika i hasłem 'eurek', które przyznaje dostęp administracyjny. Zdalny, nieautoryzowany atakujący może uwierzytelnić się przez punkt końcowy cgi-bin/login.cgi, co pozwala na uzyskanie uprawnień administratora.
Wersje DataDog::DogStatsd do 0.07 dla Perla pozwalają na wstrzykiwanie metryk z powodu niewłaściwego sanitizowania danych wejściowych. Metoda send_stats nie usuwa nowych linii z nazw metryk, co umożliwia atakującym zmianę prefiksu nazwy metryki.
Wersje DataDog::DogStatsd do 0.07 dla Perla pozwalają na wstrzykiwanie metryk z tagów zdarzeń. Metoda format_event nie waliduje zawartości tagów, co umożliwia wstrzykiwanie danych z niezaufanych źródeł.
Wersje DBI przed 1.648 dla Perla mają podatność na przepełnienie sterty podczas wstępnego przetwarzania zapytań SQL z więcej niż 9 binderami. Metoda preparse rozszerza znaki zastępcze SQL na ponumerowane bindery, ale alokuje tylko trzy znaki na binder w buforze.
W systemie Redline WR3200 występuje luka związana z niewłaściwą autoryzacją, która pozwala na dostęp do funkcji nieodpowiednio zabezpieczonych przez listy kontroli dostępu (ACL). Problem dotyczy wersji od 7.1.3 do przed 7.1.8.
W podatności CVE-2026-49777 występuje niewłaściwa walidacja określonej ilości w wejściu w wtyczce Product Slider Pro dla WooCommerce, co umożliwia złośliwemu oprogramowaniu implantację.
Podatność w rozszerzeniu edytora JCE dla Joomla umożliwia tworzenie nowych profili edytora przez nieautoryzowanych użytkowników, co prowadzi do możliwości przesyłania i wykonywania kodu PHP.
Występuje podatność typu przepełnienie bufora w sterowniku jądra morse.ko w oprogramowaniu Morse Micro HaLowLink 2 w wersjach przed 2.11.13. Umożliwia to nieautoryzowanemu atakującemu w zasięgu radiowym spowodowanie awarii systemu (kernel panic) lub potencjalne zdalne wykonanie kodu poprzez spreparowaną ramkę beacona 802.11ah zawierającą nieprawidłowy element informacji o mapie wskazania ruchu (TIM).
W podatności typu przepełnienie bufora w sterowniku jądra dot11ah.ko w oprogramowaniu Morse Micro HaLowLink 2 przed wersją 2.11.13, nieautoryzowany atakujący w zasięgu radiowym może spowodować awarię systemu (kernel panic) lub potencjalnie uzyskać zdalne wykonanie kodu poprzez spreparowany sygnał 802.11ah. Wykorzystuje to nieprawidłowe pole długości IE w funkcji morse_dot11ah_find_s1g_caps_for_bssid().
W Google Chrome przed wersją 149.0.7827.53 wystąpiła podatność typu use after free w module Input, która mogła umożliwić zdalnemu atakującemu potencjalne wykonanie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.
Niewystarczające egzekwowanie polityki w Sandbox w Google Chrome na systemie Linux przed wersją 149.0.7827.53 umożliwia zdalnemu atakującemu potencjalne wykonanie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.
Nieodpowiednia implementacja w DevTools w Google Chrome przed wersją 149.0.7827.53 umożliwiała zdalnemu atakującemu, który przejął proces renderowania, uzyskanie potencjalnie wrażliwych informacji z pamięci procesu za pomocą spreparowanej strony HTML.
Nieprawidłowa autoryzacja w Microsoft Exchange Online umożliwia nieautoryzowanemu atakującemu ujawnienie informacji w sieci.

