Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-39405
Krytyczne

System zarządzania nauką Frappe (LMS) w wersjach 2.50.0 i poniżej pozwalał użytkownikom z rolą edytora kursów na przesyłanie pakietów SCORM ZIP, co umożliwiało zapis plików poza zamierzonym katalogiem. Problem został rozwiązany w wersji 2.50.1.

CVE-2026-33137
Krytyczne

XWiki Platform w wersjach od 15.10.6 do 18.1.0-rc-1, 17.10.3, 17.4.9 oraz 16.10.17 ma lukę, która pozwala na import XAR bez weryfikacji uwierzytelnienia lub autoryzacji. To umożliwia nieautoryzowanemu atakującemu tworzenie lub aktualizowanie dokumentów w docelowym wiki.

CVE-2026-23734
Krytyczne

Platforma XWiki przed wersją 18.1.0-rc-1, 17.10.3, 17.4.9 i 16.10.17 umożliwia dostęp do plików konfiguracyjnych poprzez wykorzystanie ataku Path Traversal. Można to osiągnąć, manipulując parametrem resource w punktach końcowych ssx i jsx.

CVE-2026-20223
KrytyczneEPSS 55%

Podatność w mechanizmie walidacji dostępu do wewnętrznych interfejsów API REST w Cisco Secure Workload umożliwia nieuwierzytelnionemu, zdalnemu atakującemu dostęp do zasobów witryny z uprawnieniami roli Site Admin. Problem wynika z niewystarczającej walidacji i uwierzytelniania przy dostępie do punktów końcowych API REST.

CVE-2026-8598
Krytyczne

Na niektórych modelach kamer CCTV ZKTeco dostępny jest nieudokumentowany port eksportu konfiguracji. Port ten nie wymaga uwierzytelnienia i ujawnia krytyczne informacje o kamerze, takie jak otwarte usługi i dane logowania do konta kamery.

CVE-2026-8467
Krytyczne

W podatności CVE-2026-8467 występuje możliwość zdalnego wykonania kodu przez nieautoryzowanych użytkowników w aplikacji phenixdigital phoenix_storybook. Problem wynika z interpolacji niesanitizowanych wartości atrybutów w generowaniu szablonów HEEx.

CVE-2026-22314
Krytyczne

W podatności CVE-2026-22314 występuje niewłaściwa kontrola generacji kodu, co umożliwia wykonanie kodu na systemach innych użytkowników w komponentach Mesalvo Meona Client Launcher oraz Meona Server.

CVE-2026-33278
KrytyczneEPSS 66%

W Unbound 1.19.1 do 1.25.0 wykryto podatność w walidatorze DNSSEC, która umożliwia odmowę usługi i potencjalnie zdalne wykonanie kodu. Błąd wynika z nieprawidłowego kopiowania struktury danych, co prowadzi do nadpisania wskaźnika docelowego wskaźnikiem źródłowym. Po zwolnieniu pamięci podzapytania, wznowiony walidator odwołuje się do wiszącego wskaźnika, powodując awarię lub potencjalnie umożliwiając wykonanie dowolnego kodu.

CVE-2026-9065
Krytyczne

Wersje SureCart przed 4.2.1 są podatne na uwierzytelnioną iniekcję SQL poprzez wiele parametrów na końcówce REST API '/surecart/v1/integrations/{id}'. Problem wynika z błędnego omijania sanitizacji w budowniczym zapytań.

CVE-2026-9059
Krytyczne

Wersje NextGEN Gallery przed 4.2.1 są podatne na uwierzytelnioną injekcję SQL poprzez parametr 'orderby' w punktach końcowych REST API '/imagely/v1/galleries' i '/imagely/v1/albums'. Problem wynika z niewystarczającej funkcji sanitizacji w warstwie mapowania danych.

CVE-2026-7637
Krytyczne

Wtyczka Boost dla WordPressa jest podatna na wstrzyknięcie obiektów PHP w wersjach do 2.0.3 włącznie, poprzez deserializację niezaufanych danych w ciasteczku STYXKEY-BOOST_USER_LOCATION. Umożliwia to nieautoryzowanym atakującym wstrzyknięcie obiektu PHP.

CVE-2026-24207
Krytyczne

Serwer wnioskowania NVIDIA Triton zawiera podatność, która umożliwia atakującemu ominięcie uwierzytelniania. Udany atak może prowadzić do wykonania kodu, eskalacji uprawnień, manipulacji danymi, odmowy usługi lub ujawnienia informacji.

CVE-2026-7284
Krytyczne

Wtyczka Easy Elements for Elementor – Addons & Website Templates dla WordPressa jest podatna na eskalację uprawnień poprzez rejestrację użytkownika we wszystkich wersjach do 1.4.4 włącznie. Funkcja 'easyel_handle_register' nie ogranicza ról użytkowników, co pozwala nieautoryzowanym atakującym na przypisanie roli 'administrator' podczas rejestracji.

CVE-2026-6555
KrytyczneEPSS 58%

Wtyczka ProSolution WP Client dla WordPressa jest podatna na nieautoryzowane przesyłanie plików w wersjach do 2.0.0 włącznie. Problem wynika z niezgodności walidacji tablicy, gdzie tylko pierwszy plik w tablicy przesyłania przechodzi walidację rozszerzenia i typu MIME, podczas gdy wszystkie pliki są przetwarzane i przesyłane do katalogu dostępnego przez sieć.

CVE-2026-8495
Krytyczne

W Drupal Date iCal występuje luka związana z brakiem autoryzacji, która umożliwia wymuszone przeglądanie.

CVE-2026-34234
Krytyczne

CtrlPanel to oprogramowanie do fakturowania dla dostawców hostingu, które w wersjach 1.1.1 i wcześniejszych jest podatne na zdalne wykonanie kodu (RCE) z powodu niewłaściwego sprawdzania pliku instalacyjnego. W wyniku tego, atakujący może wykonać dowolne polecenia na serwerze.

CVE-2026-33642
Krytyczne

W wersjach 0.46.2 i poniżej funkcja handle_compose_command() w kitty/graphics.c wykonuje walidację granic na przesunięciach kompozycji, co może prowadzić do nadpisania lub odczytu pamięci w stercie. Atakujący mogą wykorzystać to, dostarczając spreparowane wartości x_offset/y_offset, które po owinięciu przechodzą walidację, ale powodują dostęp do pamięci poza granicami.

CVE-2026-8605
Krytyczne

W wersji 1.2.0 ScadaBR występuje podatność związana z użyciem twardo zakodowanych poświadczeń, co może umożliwić atakującemu dostęp do systemu SCADA jako administrator.

CVE-2026-8603
Krytyczne

W wersji 1.2.0 ScadaBR występuje podatność na wstrzyknięcie poleceń systemowych, która może umożliwić atakującemu wykonywanie poleceń jako root w systemie SCADA.

CVE-2026-8602
Krytyczne

W wersji 1.2.0 ScadaBR występuje podatność związana z brakiem uwierzytelnienia dla krytycznych funkcji, co może pozwolić nieautoryzowanemu atakującemu na wysyłanie żądań HTTP GET do systemu SCADA oraz wstrzykiwanie dowolnych odczytów czujników.

PoprzedniaStrona 71 z 559Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS