Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-14614
Średnie

W Keycloak, w komponencie ClientResource usług administracyjnych, po włączeniu FGAP v2, delegowany administrator może dodawać lub usuwać ukryte zakresy klientów, do których nie ma uprawnień. Pozwala to na wstrzyknięcie nieautoryzowanych danych lub uprawnień do tokenów bezpieczeństwa użytkowników końcowych.

CVE-2026-14613
Średnie

W interfejsie administracyjnym Keycloak wykryto podatność, która umożliwia administratorom z ograniczonymi uprawnieniami podgląd informacji o grupach, do których nie powinni mieć dostępu. Gdy włączone są nowe szczegółowe uprawnienia administracyjne (FGAP v2), administrator widzący konkretną rolę może również zobaczyć listę wszystkich grup przypisanych do tej roli, bez weryfikacji uprawnień do tych grup.

CVE-2026-14612
Średnie

W demonie ipa-otpd w FreeIPA wykryto dwa błędy off-by-one w obsłudze autoryzacji OAuth2, które mogą prowadzić do odczytu lub zapisu poza granicami bufora podczas przetwarzania zbyt dużego odpowiedzi od zewnętrznego dostawcy tożsamości OAuth2/OIDC. Atakujący kontrolujący dostawcę lub przeprowadzający atak typu man-in-the-middle może wykorzystać tę podatność do uzyskania dostępu do pamięci poza buforem.

CVE-2026-49813
Średnie

Produkt Dell PowerProtect Data Domain w wielu wersjach zawiera podatność na wstrzykiwanie poleceń systemu operacyjnego. Wysoko uprzywilejowany atakujący z dostępem lokalnym może wykorzystać tę lukę do wykonania dowolnych poleceń.

CVE-2026-46465
Średnie

Podatność typu użycia zewnętrznie kontrolowanego łańcucha formatującego w systemie Dell PowerProtect Data Domain. Wysoko uprzywilejowany atakujący z dostępem zdalnym może wykorzystać tę lukę, prowadząc do ujawnienia informacji i odmowy usługi.

CVE-2026-46464
Średnie

Produkt Dell PowerProtect Data Domain w wielu wersjach zawiera podatność polegającą na nieprawidłowym rozwiązywaniu dowiązań przed dostępem do pliku. Umożliwia ona atakującemu z wysokimi uprawnieniami i zdalnym dostępem ujawnienie poufnych informacji.

CVE-2026-46463
Średnie

Produkt Dell PowerProtect Data Domain w wielu wersjach zawiera podatność na przepełnienie lub zawinięcie liczby całkowitej. Nieuwierzytelniony atakujący ze zdalnym dostępem może potencjalnie wykorzystać tę lukę, prowadząc do odmowy usługi.

CVE-2026-59234
Średnie

Podatność w Prospero Flow CRM przed wersją 5.5.3 umożliwia uwierzytelnionemu atakującemu usunięcie dowolnych wydarzeń kalendarza innych użytkowników poprzez manipulację parametrem {id} w żądaniu GET do /calendar/event/delete/{id}. Brak kontroli własności (user_id/company_id) przed usunięciem pozwala na nieautoryzowane zniszczenie danych.

CVE-2026-54483
Średnie

Produkt Dell PowerProtect Data Domain w wielu wersjach zawiera podatność na wstrzykiwanie poleceń systemu operacyjnego. Wysoko uprzywilejowany atakujący z lokalnym dostępem może wykorzystać tę lukę do wykonania dowolnych poleceń.

CVE-2026-46730
Średnie

Podatność w Dell PowerProtect Data Domain umożliwia nieautoryzowane wykonanie poleceń przez lokalnego atakującego z wysokimi uprawnieniami z powodu błędnej autoryzacji. Problem dotyczy wielu wersji oprogramowania, w tym LTS2024, LTS2025 i LTS2026.

CVE-2026-46468
Średnie

W systemie Dell PowerProtect Data Domain wykryto podatność polegającą na nieprawidłowym rozwiązywaniu dowiązań przed dostępem do pliku. Lokalny atakujący z wysokimi uprawnieniami może wykorzystać tę lukę do ujawnienia poufnych informacji.

CVE-2026-46467
Średnie

Podatność w Dell PowerProtect Data Domain powoduje wstawianie wrażliwych informacji do plików dziennika. Osoba atakująca z niskimi uprawnieniami i lokalnym dostępem może wykorzystać tę lukę do ujawnienia poufnych danych.

CVE-2026-44269
Średnie

Produkt Dell PowerProtect Data Domain w wielu wersjach zawiera podatność polegającą na nieprawidłowym rozwiązywaniu dowiązań przed dostępem do pliku. Umożliwia ona atakującemu z wysokimi uprawnieniami i lokalnym dostępem uzyskanie nieautoryzowanego dostępu do systemu.

CVE-2026-44268
Średnie

Produkt Dell PowerProtect Data Domain w wielu wersjach zawiera podatność polegającą na nieprawidłowym przypisaniu uprawnień do krytycznych zasobów. Umożliwia ona atakującemu z wysokimi uprawnieniami i lokalnym dostępem uzyskanie nieautoryzowanego dostępu.

CVE-2026-41123
Średnie

W systemach Dell PowerProtect Data Domain w wersjach od 7.7.1.0 do 8.6 oraz w wydaniach LTS2026, LTS2025 i LTS2024 wykryto podatność związaną z nieprawidłową kontrolą dostępu w mechanizmie RBAC. Niskouprzywilejowany atakujący z dostępem zdalnym może potencjalnie wykorzystać tę lukę do manipulacji informacjami.

CVE-2026-26355
ŚrednieEPSS 60%

Produkt Dell PowerProtect Data Domain w wielu wersjach zawiera podatność na wstrzykiwanie poleceń systemu operacyjnego. Wysoko uprzywilejowany atakujący z dostępem zdalnym może wykorzystać tę lukę do wykonania dowolnych poleceń.

CVE-2026-5137
Średnie

Wtyczka RTMKit (rometheme-for-elementor) dla WordPressa do wersji 2.0.7 włącznie zawiera podatność na lokalne dołączanie plików. Problem wynika z niewystarczającej walidacji ścieżki w parametrze 'template' w punkcie końcowym AJAX render_templates, który jest używany bezpośrednio w instrukcji require/include bez sanityzacji.

CVE-2026-4322
Średnie

Wtyczka Destekz od Raera - Ankara Web Design and Digital Advertising Agency zawiera podatność na odbity atak XSS spowodowaną niewłaściwą neutralizacją danych wejściowych podczas generowania strony. Problem dotyczy wersji do 02062026, a produkt nie jest już wspierany przez producenta.

CVE-2026-9756
Średnie

Wtyczka GenerateBlocks dla WordPressa jest podatna na trwałe ataki XSS w bloku nagłówka poprzez atrybut dynamicznego linku 'linkMetaFieldType' we wszystkich wersjach do 2.2.1 włącznie. Podatność wynika z niedostatecznego oczyszczania danych wejściowych i braku odpowiedniego kodowania wyjścia.

CVE-2026-4804
Średnie

Motyw Zakra dla WordPressa w wersjach do 4.2.0 zawiera podatność na trwałe ataki XSS. Brak walidacji danych w meta polach rejestrowanych przez REST API pozwala uwierzytelnionym atakującym (od poziomu Współautora) na wstrzykiwanie złośliwych skryptów, które wykonują się przy każdym dostępie do strony.

PoprzedniaStrona 6 z 532Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS