Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-8206
Krytyczne

Wtyczka Kirki – Freeform Page Builder, Website Builder & Customizer dla WordPressa jest podatna na eskalację uprawnień poprzez przejęcie konta w wersjach od 6.0.0 do 6.0.6. Problem wynika z akceptacji dowolnego adresu e-mail podczas żądania resetowania hasła, co umożliwia nieautoryzowanym atakującym wysyłanie linków do resetowania haseł dla zarejestrowanych użytkowników na ich własne adresy e-mail.

CVE-2026-25879
Krytyczne

Langroid to framework do budowania aplikacji opartych na dużych modelach językowych. W wersjach przed 0.63.0, SQLChatAgent wykonuje SQL generowany przez LLM, który może być manipulowany przez wstrzyknięcie polecenia. Atakujący, mający dostęp do odpowiednich danych, może wymusić wykonanie niebezpiecznych operacji na serwerze bazy danych.

CVE-2026-40965
Krytyczne

Wersje Cloud Foundry UAA od v76.12.0 do v78.12.0 są podatne na ujawnienie klucza prywatnego. Serwer zawiera lukę, w której klucze prywatne EC (krzywe eliptyczne) są niezamierzenie ujawniane przez publiczny punkt końcowy /token_keys.

CVE-2018-25427
Krytyczne

Arm Whois 3.11 zawiera podatność na przepełnienie bufora na stosie, która pozwala zdalnym atakującym na wykonanie dowolnego kodu poprzez dostarczenie zbyt dużego wejścia w polu adresu IP lub domeny. Atakujący mogą stworzyć złośliwe wejście przekraczające 658 bajtów z shellcode'em, aby nadpisać strukturalny handler wyjątków i uzyskać wykonanie poleceń, gdy aplikacja przetwarza to wejście.

CVE-2026-9319
Krytyczne

IBM WebSphere Application Server w wersjach 9.0 i 8.5 jest podatny na potencjalne zdalne wykonanie kodu z powodu deserializacji nieufnych danych przez punkty końcowe JAX-WS z WS-Security.

CVE-2026-9311
Krytyczne

IBM WebSphere Application Server w wersjach 9.0 i 8.5 jest podatny na zdalne wykonanie kodu z powodu obejścia zabezpieczeń.

CVE-2026-8644
Krytyczne

IBM WebSphere Application Server w wersjach 9.0 i 8.5 jest podatny na oszustwa tożsamości. Atakujący może wykorzystać tę podatność do podszywania się pod inne osoby.

CVE-2026-22872
Krytyczne

Capsule to framework dla Kubernetes, który obsługuje wielo-tenancy i polityki. Kontroler Capsule działa z uprawnieniami cluster-admin, co pozwala administratorom tenantów na tworzenie zasobów o zasięgu klastra, co prowadzi do eskalacji uprawnień między tenantami oraz ataków na poziomie klastra przed wersją 0.13.0.

CVE-2026-45132
Krytyczne

CloudPirates Open Source Helm Charts zawiera zestaw wykresów Helm. Przed poprawką w commit fcf9302, workflow GitHub Actions (generate-schema.yaml) ujawniał wrażliwe dane uwierzytelniające (token dostępu osobistego i klucz podpisu SSH) z powodu niebezpiecznych praktyk obsługi checkoutu i danych uwierzytelniających.

CVE-2026-45131
Krytyczne

CloudPirates Open Source Helm Charts zawierał lukę, w której workflow GitHub Actions (pull-request.yaml) wykonywał kod kontrolowany przez atakującego z forków pull requestów w kontekście z uprawnieniami, co prowadziło do ujawnienia sekretów repozytorium, w tym poświadczeń i tokenów Docker Hub, bez potrzeby zatwierdzenia przez maintainerów. Problem został naprawiony w commicie fcf9302.

CVE-2026-44211
Krytyczne

Cline to autonomiczny agent kodujący dostępny jako SDK, rozszerzenie IDE lub asystent CLI. W wersjach 2.13.0 i wcześniejszych występuje podatność na przejęcie WebSocket z różnych źródeł w serwerach Cline Kanban. W momencie publikacji nie ma dostępnych publicznie poprawek.

CVE-2026-42672
Krytyczne

Podatność CVE-2026-42672 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w WP Directory Kit. Problem ten dotyczy wersji od n/a do 1.5.1.

CVE-2026-48879
Krytyczne

Podatność związana z nieprawidłowym przypisaniem uprawnień w Sergey AIWU umożliwia eskalację uprawnień. Problem dotyczy wersji AIWU od n/a do 1.4.17.

CVE-2026-48866
Krytyczne

Podatność typu 'Path Traversal' w Gravity Forms firmy Rocketgenius Inc. pozwala na nieprawidłowe ograniczenie ścieżki do zastrzeżonego katalogu. Dotyczy to wersji Gravity Forms od n/a do 2.10.0.1.

CVE-2026-42682
Krytyczne

W wpForo Forum występuje luka związana z brakiem autoryzacji, która pozwala na wykorzystanie nieprawidłowo skonfigurowanych poziomów kontroli dostępu. Problem ten dotyczy wersji od n/a do 3.0.6.

CVE-2026-42680
Krytyczne

Podatność CVE-2026-42680 dotyczy niewłaściwego przypisania uprawnień w aplikacji Contest Gallery Pro, co umożliwia eskalację uprawnień. Problem ten występuje w wersjach od n/a do 29.0.1.

CVE-2026-0826
KrytyczneEPSS 52%

W określonych scenariuszach, gdy administrator włączył Interaktywną Establizację Łączności (ICE), może wystąpić przepełnienie bufora, które umożliwia zdalne wykonanie kodu na produktach Poly Voice działających na platformie Linux.

CVE-2026-7858
Krytyczne

Podatność na deserializację niezaufanych danych dotyczy Teamwork Cloud od No Magic w wersjach od 2022x do 2026x oraz Magic Collaboration Studio od CATIA Magic w wersjach od 2022x do 2026x. Może prowadzić do zdalnego wykonania kodu bez uwierzytelnienia.

CVE-2026-42252
Krytyczne

Dokumentacja Apache Airflow zawierała przykład użycia `BashOperator` bez ostrzeżenia o konieczności cytowania/sanitizacji, co mogło prowadzić do wstrzyknięcia metacharakterów powłoki. Użytkownicy z uprawnieniami `Dag.can_trigger` mogli wykorzystać ten błąd, aby wykonać złośliwy kod na serwerze roboczym.

CVE-2026-48188
Krytyczne

W podatności CVE-2026-48188 występuje nieprawidłowa walidacja danych wejściowych w module warstwy bazy danych OTRS, co pozwala na nieautoryzowaną injekcję SQL prowadzącą do obejścia uwierzytelniania. Problem ten występuje tylko wtedy, gdy serwer MySQL/MariaDB jest skonfigurowany z trybem SQL NO_BACKSLASH_ESCAPES.

PoprzedniaStrona 57 z 559Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS