Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-49200
Krytyczne

Plik acer_cgi.log w oprogramowaniu urządzenia jest dostępny bez uwierzytelnienia przez interfejs webowy. Zawiera on dane logowania w postaci niezaszyfrowanej, co prowadzi do nieautoryzowanego dostępu do systemu.

CVE-2026-49199
Krytyczne

Specjalnie przygotowane wiadomości MQTT mogą wywołać wstrzyknięcie poleceń, co prowadzi do wykonania kodu na poziomie roota na docelowym urządzeniu.

CVE-2026-49197
Krytyczne

Punkty końcowe webowe przeznaczone dla aplikacji Acer Connect nieprawidłowo walidują nagłówek autoryzacji HTTP, co prowadzi do braku blokowania żądań, gdy dekodowanie Base64 kończy się niepowodzeniem.

CVE-2026-3655
Krytyczne

Wtyczka OTP Login With Phone Number, OTP Verification dla WordPressa jest podatna na obejście uwierzytelniania w wersjach od 1.8.50 do 1.8.60. Problem wynika z braku powiązania sesji Firebase z numerem telefonu podanym w żądaniu, co umożliwia atakującym uwierzytelnienie się jako dowolny użytkownik posiadający numer telefonu w metadanych użytkownika.

CVE-2026-8732
Krytyczne

Wtyczka WP Maps Pro dla WordPressa jest podatna na eskalację uprawnień poprzez tworzenie konta administratora we wszystkich wersjach do i włącznie z 6.1.0. Problem wynika z rejestracji akcji AJAX wpgmp_temp_access_ajax z użyciem wp_ajax_nopriv_ oraz ochrony jedynie przez sprawdzenie nonce, co czyni tę kontrolę dostępu nieskuteczną.

CVE-2026-9967
Krytyczne

W Google Chrome przed wersją 148.0.7778.216 wystąpiła podatność na zapis poza granicami w GPU, która mogła umożliwić zdalnemu atakującemu potencjalne wykonanie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.

CVE-2026-9918
Krytyczne

Nieodpowiednia implementacja w Tint w Google Chrome przed wersją 148.0.7778.216 umożliwiała zdalnemu atakującemu potencjalne wykonanie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.

CVE-2026-9891
Krytyczne

Wykorzystanie po zwolnieniu pamięci w rozszerzeniach Google Chrome przed wersją 148.0.7778.216 umożliwia zdalnemu atakującemu, który przejął proces renderera, potencjalne wykonanie ucieczki z piaskownicy za pomocą spreparowanego rozszerzenia Chrome.

CVE-2026-9886
Krytyczne

W Google Chrome na Mac przed wersją 148.0.7778.216 wystąpiła podatność typu use after free w module Base, która mogła pozwolić zdalnemu atakującemu na potencjalne wykonanie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.

CVE-2026-9881
Krytyczne

Wykorzystanie po zwolnieniu pamięci w Bluetooth w Google Chrome na Macu przed wersją 148.0.7778.216 umożliwia atakującemu, który przekona użytkownika do zainstalowania złośliwego rozszerzenia, potencjalne wykonanie ucieczki z piaskownicy za pomocą spreparowanego rozszerzenia Chrome.

CVE-2026-9876
Krytyczne

Wykorzystanie po zwolnieniu pamięci w WebGL w Google Chrome na Androidzie przed wersją 148.0.7778.216 umożliwia zdalnemu atakującemu potencjalne przeprowadzenie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.

CVE-2026-9875
Krytyczne

W Google Chrome na Androidzie przed wersją 148.0.7778.216 wystąpił błąd odczytu poza zakresem w WebGL, który mógł umożliwić zdalnemu atakującemu potencjalne wykonanie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.

CVE-2026-9874
Krytyczne

Wykorzystanie po zwolnieniu pamięci w Dawn w Google Chrome przed wersją 148.0.7778.216 umożliwia zdalnemu atakującemu potencjalne przeprowadzenie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.

CVE-2026-9872
Krytyczne

W Google Chrome na Androidzie przed wersją 148.0.7778.216 wystąpił błąd zapisu poza granicami w GPU, który umożliwiał zdalnemu atakującemu potencjalne wykonanie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.

CVE-2026-8809
Krytyczne

Wtyczka Advanced Custom Fields: Extended dla WordPressa jest podatna na eskalację uprawnień poprzez obejście walidacji we wszystkich wersjach do 0.9.2.5. Luka ta pozwala nieautoryzowanym atakującym na utworzenie konta użytkownika z uprawnieniami administratora.

CVE-2026-44881
Krytyczne

Portainer Community Edition to platforma do zarządzania aplikacjami kontenerowymi, która w wersjach od 2.33.0 do przed 2.33.8, 2.39.2 i 2.41.0 umożliwia wdrażanie stosów z repozytoriów Git. W trakcie tworzenia lub aktualizacji stosu, Portainer klonuje repozytorium, co może prowadzić do nieautoryzowanego dostępu do plików w systemie operacyjnym poprzez symlinki.

CVE-2026-9645
Krytyczne

Metody dostępne dla uwierzytelnionych użytkowników pozwalają na tworzenie i wykonywanie dowolnego kodu JavaScript na serwerze. Skrypty są wykonywane z pełnym dostępem, co umożliwia całkowite przejęcie systemu, ponieważ polecenia są wykonywane jako root.

CVE-2026-46840
Krytyczne

Podatność w Oracle REST Data Services (komponent: Backend-as-a-Service) dotyczy wersji 24.2.0-26.1.0. Umożliwia łatwe wykorzystanie przez nieautoryzowanego atakującego z dostępem do sieci przez HTTPS, co może prowadzić do przejęcia Oracle REST Data Services.

CVE-2026-46839
Krytyczne

Podatność w Oracle REST Data Services (komponent: Core) dotyczy wersji 24.2.0-26.1.0. Łatwo eksploatowalna podatność pozwala atakującemu z niskimi uprawnieniami, mającemu dostęp do sieci przez HTTPS, na przejęcie Oracle REST Data Services.

CVE-2026-46833
Krytyczne

Podatność w komponencie Net Service serwera bazy danych Oracle, dotykająca wersji 23.4.0-23.26.2. Umożliwia nieautoryzowanemu atakującemu z dostępem do sieci przez TLS przejęcie Net Service, co może znacząco wpłynąć na inne produkty.

PoprzedniaStrona 60 z 559Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS