Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-2508
Średnie

Wtyczka Gravity Forms Booking dla WordPressa jest podatna na atak typu SQL Injection opartego na czasie poprzez parametr 'staff_id' we wszystkich wersjach do 2.7.1 włącznie, z powodu niewystarczającego zabezpieczenia dostarczonego przez użytkownika oraz braku odpowiedniego przygotowania istniejącego zapytania SQL.

CVE-2026-12079
Średnie

Wtyczka Dokan Pro dla WordPressa jest podatna na atak SQL Injection oparty na czasie poprzez parametr 'orderby' we wszystkich wersjach do 5.0.4 włącznie. Podatność wynika z niedostatecznego escapowania parametru dostarczanego przez użytkownika oraz braku odpowiedniego przygotowania zapytania SQL.

CVE-2026-10833
Średnie

Wtyczka Gutenberg Essential Blocks dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez atrybut 'configurablePrefix' w bloku. Problem ten występuje we wszystkich wersjach do 6.1.4 włącznie, z powodu niewystarczającej sanitizacji danych wejściowych i ucieczki danych wyjściowych.

CVE-2026-8658
Średnie

Wtyczka Tcpdump dla Rapid7 InsightConnect na systemie Linux zawiera podatność na wstrzykiwanie poleceń systemu operacyjnego. Uwierzytelniony atakujący może wykonać dowolne polecenia poprzez parametry options lub filter z powodu niedostatecznego oczyszczania danych wejściowych.

CVE-2026-8664
Średnie

Wtyczka Finger dla Rapid7 InsightConnect na systemie Linux zawiera podatność na wstrzykiwanie poleceń systemu operacyjnego. Autoryzowany atakujący może wykonać dowolne polecenia systemowe poprzez parametry user lub host z powodu niewystarczającej walidacji danych wejściowych podczas konstruowania poleceń powłoki.

CVE-2026-9153
Średnie

Podatność Arbitrary File Read w wtyczce Sed Rapid7 InsightConnect na systemie Linux umożliwia uwierzytelnionym atakującym odczyt dowolnych plików za pomocą parametru expression z powodu niewystarczającej walidacji danych wejściowych.

CVE-2026-8663
Średnie

Wtyczka RPM dla Rapid7 InsightConnect na systemie Linux zawiera podatność na wstrzykiwanie poleceń systemu operacyjnego. Uwierzytelniony atakujący może wykonać dowolne polecenia OS poprzez parametry repo, key lub name z powodu niedostatecznego oczyszczania danych wejściowych.

CVE-2026-8659
Średnie

Wtyczka SQLmap dla Rapid7 InsightConnect na systemie Linux zawiera podatność na wstrzykiwanie poleceń systemu operacyjnego. Atakujący z uwierzytelnieniem może wykonać dowolne polecenia poprzez parametry api_host lub api_port podczas konfiguracji połączenia z powodu niewystarczającej walidacji wejścia.

CVE-2025-60473
Średnie

W bibliotece GPAC/MP4Box przed wersją 26.02.0 wykryto podatność polegającą na dereferencji wskaźnika NULL w funkcji gf_filter_in_parent_chain. Atakujący może spowodować odmowę usługi (DoS) poprzez dostarczenie spreparowanego pliku.

CVE-2025-60466
Średnie

W bibliotece GPAC/MP4Box przed wersją 26.02.0 wykryto podatność use-after-free w funkcji gf_filter_pid_get_packet w pliku filter_core/filter_pid.c. Atakujący może wykorzystać specjalnie spreparowany plik multimedialny, aby doprowadzić do awarii aplikacji (odmowa usługi).

CVE-2026-39900
Średnie

Cacti to otwartoźródłowy framework do zarządzania wydajnością i błędami. Wersje 1.2.30 i wcześniejsze są podatne na atak typu Reflected XSS poprzez parametr tab w kontekście JavaScript pliku auth_profile.php. Problem został naprawiony w wersji 1.2.31.

CVE-2026-39899
Średnie

Cacti to framework open source do zarządzania wydajnością i awariami. Wersje 1.2.30 i wcześniejsze są podatne na Path Traversal przez parametr filename w pliku package_import.php. Problem został naprawiony w wersji 1.2.31.

CVE-2026-9775
ŚrednieEPSS 64%

Podatność w metodzie uploadSSL oprogramowania ATEN Unizon umożliwia zdalną, uwierzytelnioną eliminację dowolnych plików. Problem wynika z braku walidacji ścieżki dostarczonej przez użytkownika przed użyciem jej w operacjach na plikach.

CVE-2026-9774
ŚrednieEPSS 64%

Podatność w metodzie updateLicense oprogramowania ATEN Unizon umożliwia zdalną, uwierzytelnioną osobę do usunięcia dowolnych plików w systemie. Problem wynika z braku walidacji ścieżki podanej przez użytkownika przed użyciem jej w operacjach na plikach.

CVE-2026-54068
Średnie

SiYuan to system zarządzania wiedzą, który przed wersją 3.7.0 miał punkt końcowy /api/icon/getDynamicIcon, który nie wymagał uwierzytelnienia. Atakujący mogą wykorzystać ten punkt końcowy do wykonania dowolnych zapytań SELECT w bazie danych SQLite SiYuan, co prowadzi do wycieku danych użytkowników.

CVE-2026-53766
Średnie

Podatność w Chrome DevTools MCP (wersje 0.24.0 do 1.1.0) pozwala na obejście ograniczeń katalogów roboczych poprzez dowiązania symboliczne. Funkcja walidująca ścieżki nie normalizuje dowiązań symbolicznych, co umożliwia odczyt i zapis plików poza dozwolonym obszarem.

CVE-2026-53765
Średnie

Podatność w chrome-devtools-mcp od wersji 0.20.0 do 1.1.0 pozwala lokalnemu użytkownikowi z niskimi uprawnieniami na utworzenie dowiązania symbolicznego do pliku PID demona, co skutkuje nadpisaniem dowolnego pliku ofiary ciągiem PID procesu.

CVE-2026-47110
Średnie

Podatność w bibliotece Tiptap dla PHP przed wersją 2.1.1 umożliwia uwierzytelnionym atakującym przeprowadzenie ataku typu DoS poprzez przesłanie JSON-a z polem attrs.href ustawionym na tablicę zamiast stringa. Powoduje to nieobsłużony błąd TypeError w funkcji Link::isAllowedUri() podczas przekazywania do preg_match(), co prowadzi do trwałego uszkodzenia rekordu i blokady renderowania HTML dla wszystkich użytkowników.

CVE-2026-39897
Średnie

Cacti to otwarte źródło frameworka do zarządzania wydajnością i błędami. Wersje 1.2.30 i poniżej zawierają podatność typu Reflected XSS w html_auth_footer, która została naprawiona w wersji 1.2.31.

CVE-2026-10642
Średnie

Sterownik UART PL011 w Zephyr OS (drivers/serial/uart_pl011.c) zawiera nieograniczoną pętlę w funkcji pl011_irq_tx_enable(), która powoduje zawieszenie wątku przy włączonym sprzętowym sterowaniu przepływem CTS. Gdy urządzenie zewnętrzne deasertuje sygnał CTS, sterownik nie może opróżnić FIFO nadawczego, a pętla nigdy się nie kończy, prowadząc do odmowy usługi (CWE-835).

PoprzedniaStrona 61 z 513Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS