Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
Integracja płatności z metodami płatności opartymi na Oppwa nieprawidłowo walidowała odpowiedzi dotyczące statusu płatności. Atakujący mógł wykorzystać odpowiedź o udanej płatności dla jednej transakcji i dostarczyć ją systemowi dla innej płatności, uzyskując dostęp do wielu ważnych biletów za pomocą tylko jednej płatności.
Wtyczka Elementor Website Builder w wersji 4.1.3 i starszych zawiera podatność na ujawnienie wrażliwych danych współtwórców. Luka ta może pozwolić atakującemu na dostęp do poufnych informacji przechowywanych przez wtyczkę.
Wtyczka Slim SEO w wersjach do 4.6.2 zawiera podatność polegającą na złamaniu kontroli dostępu dla współautorów. Osoba z rolą współautora może uzyskać nieuprawniony dostęp do funkcji zarządzania SEO.
Wtyczka PPOM dla WooCommerce zawiera podatność polegającą na nieprawidłowej kontroli dostępu, co umożliwia wykorzystanie błędnie skonfigurowanych poziomów zabezpieczeń. Problem dotyczy wersji od n/a do 33.0.18.
Wtyczka UPI QR Code Payment Gateway dla WooCommerce w wersji 1.6.2 i starszych zawiera podatność polegającą na złamaniu kontroli dostępu przez klienta. Umożliwia to nieautoryzowanym użytkownikom manipulację procesem płatności.
Wtyczka License Manager for WooCommerce w wersji 3.0.15 i starszych zawiera podatność na nieuwierzytelnione niebezpieczne bezpośrednie odwołania do obiektów (IDOR). Umożliwia to atakującemu dostęp do wrażliwych danych bez wymaganego uwierzytelnienia.
Podatność umożliwia fałszowanie odpowiedzi do rekursora, co może spowodować oznaczenie adresu IP autorytatywnego serwera jako nieobsługującego EDNS. W rezultacie walidacja rekordów DNSSEC pochodzących z tego serwera może zakończyć się niepowodzeniem.
W EmberZNet w wersji 9.0.2 i wcześniejszych, źle sformułowane globalne wiadomości ZCL mogą powodować odczyty poza zakresem w logice parsowania frameworka, co prowadzi do zakończenia procesu. Wiadomości te muszą pochodzić z urządzenia, które już dołączyło do sieci.
W EmberZNet w wersji 9.0.2 i wcześniejszych, źle sformułowana wiadomość GetProfileResponse może prowadzić do odczytów poza zakresem podczas iteracji po wpisach interwałowych, co skutkuje zakończeniem procesu. Tego typu wiadomości muszą pochodzić z urządzenia, które już dołączyło do sieci.
W EmberZNet w wersji 9.0.2 i wcześniejszych, źle sformułowane polecenie Level Control Step może spowodować zakończenie procesu z powodu błędu dzielenia przez zero. Polecenie to musi pochodzić z urządzenia, które już dołączyło do sieci.
W EmberZNet w wersji 9.0.2 i wcześniejszych, źle sformułowane polecenie Level Control Move może spowodować zakończenie procesu z powodu błędu dzielenia przez zero. Polecenie to musi pochodzić z urządzenia, które już dołączyło do sieci.
W EmberZNet w wersji 9.0.2 i wcześniejszych, nieprawidłowe lub poza zakresem identyfikatory użytkowników zamków drzwiowych mogą powodować odczyty poza zakresem tabeli i zakończenie procesu. Problemy te występują tylko w urządzeniach, które już dołączyły do sieci.
W EmberZNet w wersji 9.0.2 i wcześniejszych, źle sformułowane polecenia GetGroupMembership mogą powodować wielokrotne odczyty poza końcem ładunku wiadomości, co prowadzi do zakończenia procesu. Tego typu wiadomości muszą pochodzić z urządzenia, które już dołączyło do sieci.
W wersji EmberZNet v9.0.2 i wcześniejszych, źle sformułowane wiadomości Color Control mogą prowadzić do asercji, które kończą proces. Tylko urządzenia, które już dołączyły do sieci i wspierają klaster Color Control mogą być dotknięte.
W wersji 9.0.2 i wcześniejszych EmberZNet, źle sformatowane wiadomości Color Control mogą prowadzić do asercji, które kończą proces. Tylko urządzenia, które już dołączyły do sieci i obsługują klaster Color Control mogą być dotknięte.
W aplikacji Dell Display and Peripheral Manager (DDPM) dla systemu macOS w wersjach starszych niż 2.3 wykryto podatność typu „wyścig” (Race Condition) związaną z równoczesnym wykonywaniem kodu przy użyciu współdzielonego zasobu bez odpowiedniej synchronizacji. Lokalny atakujący z niskimi uprawnieniami może wykorzystać tę lukę, co prowadzi do eskalacji uprawnień.
Podatność umożliwia nieprawidłowej strefie DNS przejście walidacji ZONEMD, mimo że powinna zostać odrzucona. Problem występuje wyłącznie w przypadku skonfigurowania opcji ZoneToCache z walidacją ZONEMD.
Poprawka zwiększa bezpieczeństwo gałęzi 5.4.x poprzez dodatkową walidację odpowiedzi przychodzących z serwerów autorytatywnych.
Niekompletna walidacja rekordu SOA w strefie katalogowej może prowadzić do awarii serwera DNS.
Złośliwy autorytatywny serwer DNS może wysłać spreparowaną strefę za pomocą funkcji ZoneToCache, co prowadzi do awarii Recursora z powodu niewystarczającej walidacji danych wejściowych.

