Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
Wtyczka Kirki – Freeform Page Builder, Website Builder & Customizer dla WordPressa jest podatna na eskalację uprawnień poprzez przejęcie konta w wersjach od 6.0.0 do 6.0.6. Problem wynika z akceptacji dowolnego adresu e-mail podczas żądania resetowania hasła, co umożliwia nieautoryzowanym atakującym wysyłanie linków do resetowania haseł dla zarejestrowanych użytkowników na ich własne adresy e-mail.
Langroid to framework do budowania aplikacji opartych na dużych modelach językowych. W wersjach przed 0.63.0, SQLChatAgent wykonuje SQL generowany przez LLM, który może być manipulowany przez wstrzyknięcie polecenia. Atakujący, mający dostęp do odpowiednich danych, może wymusić wykonanie niebezpiecznych operacji na serwerze bazy danych.
Wersje Cloud Foundry UAA od v76.12.0 do v78.12.0 są podatne na ujawnienie klucza prywatnego. Serwer zawiera lukę, w której klucze prywatne EC (krzywe eliptyczne) są niezamierzenie ujawniane przez publiczny punkt końcowy /token_keys.
Arm Whois 3.11 zawiera podatność na przepełnienie bufora na stosie, która pozwala zdalnym atakującym na wykonanie dowolnego kodu poprzez dostarczenie zbyt dużego wejścia w polu adresu IP lub domeny. Atakujący mogą stworzyć złośliwe wejście przekraczające 658 bajtów z shellcode'em, aby nadpisać strukturalny handler wyjątków i uzyskać wykonanie poleceń, gdy aplikacja przetwarza to wejście.
IBM WebSphere Application Server w wersjach 9.0 i 8.5 jest podatny na potencjalne zdalne wykonanie kodu z powodu deserializacji nieufnych danych przez punkty końcowe JAX-WS z WS-Security.
IBM WebSphere Application Server w wersjach 9.0 i 8.5 jest podatny na zdalne wykonanie kodu z powodu obejścia zabezpieczeń.
IBM WebSphere Application Server w wersjach 9.0 i 8.5 jest podatny na oszustwa tożsamości. Atakujący może wykorzystać tę podatność do podszywania się pod inne osoby.
Capsule to framework dla Kubernetes, który obsługuje wielo-tenancy i polityki. Kontroler Capsule działa z uprawnieniami cluster-admin, co pozwala administratorom tenantów na tworzenie zasobów o zasięgu klastra, co prowadzi do eskalacji uprawnień między tenantami oraz ataków na poziomie klastra przed wersją 0.13.0.
CloudPirates Open Source Helm Charts zawiera zestaw wykresów Helm. Przed poprawką w commit fcf9302, workflow GitHub Actions (generate-schema.yaml) ujawniał wrażliwe dane uwierzytelniające (token dostępu osobistego i klucz podpisu SSH) z powodu niebezpiecznych praktyk obsługi checkoutu i danych uwierzytelniających.
CloudPirates Open Source Helm Charts zawierał lukę, w której workflow GitHub Actions (pull-request.yaml) wykonywał kod kontrolowany przez atakującego z forków pull requestów w kontekście z uprawnieniami, co prowadziło do ujawnienia sekretów repozytorium, w tym poświadczeń i tokenów Docker Hub, bez potrzeby zatwierdzenia przez maintainerów. Problem został naprawiony w commicie fcf9302.
Cline to autonomiczny agent kodujący dostępny jako SDK, rozszerzenie IDE lub asystent CLI. W wersjach 2.13.0 i wcześniejszych występuje podatność na przejęcie WebSocket z różnych źródeł w serwerach Cline Kanban. W momencie publikacji nie ma dostępnych publicznie poprawek.
Podatność CVE-2026-42672 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w WP Directory Kit. Problem ten dotyczy wersji od n/a do 1.5.1.
Podatność związana z nieprawidłowym przypisaniem uprawnień w Sergey AIWU umożliwia eskalację uprawnień. Problem dotyczy wersji AIWU od n/a do 1.4.17.
Podatność typu 'Path Traversal' w Gravity Forms firmy Rocketgenius Inc. pozwala na nieprawidłowe ograniczenie ścieżki do zastrzeżonego katalogu. Dotyczy to wersji Gravity Forms od n/a do 2.10.0.1.
W wpForo Forum występuje luka związana z brakiem autoryzacji, która pozwala na wykorzystanie nieprawidłowo skonfigurowanych poziomów kontroli dostępu. Problem ten dotyczy wersji od n/a do 3.0.6.
Podatność CVE-2026-42680 dotyczy niewłaściwego przypisania uprawnień w aplikacji Contest Gallery Pro, co umożliwia eskalację uprawnień. Problem ten występuje w wersjach od n/a do 29.0.1.
W określonych scenariuszach, gdy administrator włączył Interaktywną Establizację Łączności (ICE), może wystąpić przepełnienie bufora, które umożliwia zdalne wykonanie kodu na produktach Poly Voice działających na platformie Linux.
Podatność na deserializację niezaufanych danych dotyczy Teamwork Cloud od No Magic w wersjach od 2022x do 2026x oraz Magic Collaboration Studio od CATIA Magic w wersjach od 2022x do 2026x. Może prowadzić do zdalnego wykonania kodu bez uwierzytelnienia.
Dokumentacja Apache Airflow zawierała przykład użycia `BashOperator` bez ostrzeżenia o konieczności cytowania/sanitizacji, co mogło prowadzić do wstrzyknięcia metacharakterów powłoki. Użytkownicy z uprawnieniami `Dag.can_trigger` mogli wykorzystać ten błąd, aby wykonać złośliwy kod na serwerze roboczym.
W podatności CVE-2026-48188 występuje nieprawidłowa walidacja danych wejściowych w module warstwy bazy danych OTRS, co pozwala na nieautoryzowaną injekcję SQL prowadzącą do obejścia uwierzytelniania. Problem ten występuje tylko wtedy, gdy serwer MySQL/MariaDB jest skonfigurowany z trybem SQL NO_BACKSLASH_ESCAPES.

