Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-13564
Wysokie

W urządzeniu Edimax EW-7478APC w wersji 1.04 odkryto podatność przepełnienia bufora stosu w funkcji formPPPoESetup pliku /goform/formPPPoESetup. Atakujący może zdalnie manipulować argumentem pppUserName, co prowadzi do przepełnienia bufora. Exploit został opublikowany i może być wykorzystany.

CVE-2026-13563
Wysokie

W urządzeniu Edimax EW-7478APC w wersji 1.04 odkryto podatność polegającą na przepełnieniu bufora stosu w funkcji formL2TPSetup. Atakujący może zdalnie manipulować argumentem L2TPUserName, co prowadzi do przepełnienia bufora. Exploit został upubliczniony, a producent nie odpowiedział na zgłoszenie.

CVE-2026-13562
Wysokie

W urządzeniu Edimax EW-7478APC w wersji 1.04 odkryto podatność na przepełnienie bufora w funkcji formiNICSiteSurvey pliku /goform/formiNICSiteSurvey. Manipulacja argumentem selSSID umożliwia zdalne wykonanie ataku. Exploit został opublikowany i może być wykorzystany.

CVE-2026-13559
Wysokie

W systemie Real State Services 1.0 wykryto podatność na wstrzykiwanie SQL w pliku /single-list_sale.php?action=add. Manipulacja argumentem ID umożliwia zdalne wykonanie ataku. Exploit został opublikowany, co zwiększa ryzyko wykorzystania.

CVE-2026-57346
Wysokie

Wtyczka Embed Privacy dla WordPressa zawiera podatność na path traversal, która pozwala atakującemu na dostęp do plików poza ograniczonym katalogiem. Problem dotyczy wersji od 1.0.0 do 1.12.3.

CVE-2026-25707
Wysokie

Podatność w libzypp przed wersją 17.38.10 umożliwia zdalnym atakującym nadpisywanie plików systemowych poprzez błąd względnej ścieżki podczas przetwarzania metadanych repozytorium. Może to prowadzić do odmowy usługi lub eskalacji uprawnień.

CVE-2026-13601
Wysokie

W Yelp wykryto podatność spowodowaną zbyt liberalną polityką bezpieczeństwa treści (CSP) w bibliotece yelp-xsl. Złośliwa aplikacja Flatpak może otworzyć spreparowaną pomoc przez portal OpenURI, a osadzenie niezaufanego arkusza CSS w dokumentach SVG pozwala ominąć izolację sandboksową Flatpaka. Umożliwia to Yelp odczytywanie lokalnych plików XML i ujawnianie dowolnych plików hosta przez zdalne żądania CSS.

CVE-2026-13555
Wysokie

W systemie Online Hotel Management System 1.0 znaleziono podatność SQL Injection w pliku /admin/mod_users/controller.php?action=add. Manipulacja argumentem Name umożliwia zdalne wstrzyknięcie kodu SQL. Exploit został opublikowany, co zwiększa ryzyko ataku.

CVE-2026-13553
Wysokie

W systemie Online Hotel Management System 1.0 znaleziono lukę w pliku /admin/mod_amenities/controller.php?action=add. Manipulacja argumentem image umożliwia nieograniczone przesyłanie plików, co może prowadzić do zdalnego wykonania kodu. Exploit został opublikowany i może być wykorzystany.

CVE-2026-13552
Wysokie

W systemie Online Hotel Management System 1.0 wykryto podatność SQL Injection w pliku /admin/mod_amenities/controller.php?action=edit. Atakujący może zdalnie manipulować argumentem amen_id, co prowadzi do wstrzyknięcia SQL. Exploit jest publicznie dostępny.

CVE-2026-22078
Wysokie

Podatność w usłudze IPC O+ Connect wynika z braku uwierzytelniania klientów. Zewnętrzne aplikacje mogą eskalować uprawnienia i wykonywać wrażliwe akcje przez kanał IPC.

CVE-2026-13551
Wysokie

W systemie itsourcecode Baptism Information Management System 1.0 wykryto podatność SQL injection w pliku /editBaptism.php. Atakujący może zdalnie manipulować argumentem ID, co prowadzi do wstrzyknięcia kodu SQL. Exploit został ujawniony publicznie.

CVE-2026-13550
Wysokie

W systemie itsourcecode Baptism Information Management System 1.0 wykryto podatność na wstrzykiwanie SQL w pliku /delbaptism.php. Nieznana funkcja tego pliku nieprawidłowo przetwarza argument ID, co umożliwia zdalne wykonanie ataku. Exploit został opublikowany i może być wykorzystany w rzeczywistych atakach.

CVE-2026-13547
Wysokie

W platformie Hanwang e-Face General Management Platform 6.3.5.4 wykryto podatność polegającą na nieograniczonym przesyłaniu plików. Problem występuje w pliku /manage/resourceUpload/upload.do, gdzie manipulacja argumentem File pozwala na zdalne wgranie dowolnego pliku. Exploit został publicznie ujawniony i może być wykorzystany.

CVE-2026-13546
Wysokie

W Feehi CMS do wersji 2.1.1 wykryto brak uwierzytelnienia w punkcie końcowym REST API /api/articles. Luka umożliwia zdalne wykorzystanie bez konieczności logowania, a szczegóły exploitów są publicznie dostępne.

CVE-2026-13545
WysokieEPSS 72%

W oprogramowaniu kamery D-Link DCS-935L w wersji 1.10.01 wykryto podatność na wstrzykiwanie poleceń systemu operacyjnego. Problem występuje w funkcji sub_400E40 pliku setconf.cgi, gdzie argument UID jest nieprawidłowo obsługiwany przez komponent POST Parameter Handler. Atak może być przeprowadzony zdalnie, a szczegóły exploit'a są publicznie dostępne.

CVE-2026-13539
Wysokie

W urządzeniu Wavlink WL-NU516U1-A w wersji M16U1_V240425 wykryto podatność na przepełnienie bufora stosu w funkcji sub_407504 pliku /cgi-bin/wireless.cgi. Manipulacja argumentem Guest_ssid w komponencie POST Parameter Handler umożliwia zdalne wykonanie ataku. Exploit jest publicznie dostępny.

CVE-2026-10083
Wysokie

Wtyczka APCu Manager dla WordPressa przed wersją 4.5.0 nie zabezpiecza kluczy pamięci podręcznej APCu przed wyświetleniem na stronie administracyjnej, co prowadzi do podatności na trwały atak XSS. Klucze pochodzące z niesanityzowanych danych wejściowych użytkownika (np. nazwy transjentu utworzonej przez niezautoryzowane żądanie) są renderowane bez kodowania, umożliwiając wykonanie dowolnego kodu JavaScript w sesji administratora.

CVE-2025-2902
Wysokie

W systemach Hitachi Virtual Storage Platform wykryto podatność nieprawidłowej autoryzacji w narzędziu konserwacyjnym. Luka umożliwia nieautoryzowany dostęp do funkcji utrzymaniowych, co może prowadzić do naruszenia integralności i poufności danych.

CVE-2026-13528
Wysokie

W komponencie ruoyi-vue-pro do wersji 2026.04-jdk8-SNAPSHOT wykryto podatność na przejście ścieżki (path traversal) w funkcji generateUploadPath pliku FileServiceImpl.java. Atakujący może zdalnie manipulować ścieżką pliku, co umożliwia dostęp do nieautoryzowanych zasobów.

PoprzedniaStrona 60 z 3362Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS