Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-55693
Wysokie

W Vimie przed wersją 9.2.0653 funkcja tree_count_words() w pliku src/spellfile.c zapisuje dane poza stosem podczas przetwarzania spreparowanych plików .spl/.sug. Atakujący może wykorzystać tę podatność do spowodowania awarii edytora poprzez przepełnienie bufora na stosie.

CVE-2026-55477
Wysokie

3X-UI to panel sterowania do zarządzania serwerami Xray-core. Przed wersją 3.3.1, uwierzytelniony administrator mógł nadużyć funkcji importu bazy danych, co prowadziło do możliwości zapisu dowolnych plików na hoście poprzez modyfikację wartości konfiguracyjnych Xray przechowywanych w bazie danych.

CVE-2026-12844
Wysokie

Wersje List::SomeUtils::XS przed 0.59 dla Perla mają podatność na przepełnienie bufora w funkcji pairwise. Problem polega na tym, że funkcja ta nieprawidłowo zarządza pamięcią, co może prowadzić do nadpisania obszaru pamięci.

CVE-2026-57532
Wysokie

Złośliwa zawartość HTML zawarta w specyfikacji układu PDF mogła zostać wykonana po otwarciu edytora PDF w przeglądarce. Umożliwia to jednemu użytkownikowi backendu wstrzyknięcie JavaScriptu do kontekstu przeglądarki innego użytkownika backendu.

CVE-2026-57435
Wysokie

Podatność w bibliotece Nokogiri (wersje przed 1.19.4) dla języka Ruby umożliwia pozostawienie wskaźnika Ruby do zwolnionej pamięci podczas zmiany wartości atrybutu XML. Może to prowadzić do odczytu z nieprawidłowego adresu i potencjalnego segfaulta.

CVE-2026-57434
Wysokie

Podatność w bibliotece Nokogiri dla języka Ruby powoduje wywołanie dereferencji wskaźnika NULL podczas wywoływania określonych metod na zaalokowanych, ale niezainicjalizowanych natywnych klasach opakowujących dziedziczących po Nokogiri::XML::Node. Problem został naprawiony w wersji 1.19.4.

CVE-2026-57236
Wysokie

Podatność w bibliotece Nokogiri (wersje przed 1.19.4) dla języka Ruby. Wywołanie metody Document#encoding= z nieprawidłowym kodowaniem (np. niebędącym ciągiem znaków lub zawierającym bajt null) powoduje zwolnienie pamięci przechowującej bieżące kodowanie dokumentu bez jej zastąpienia. Kolejne odwołanie do Document#encoding odczytuje zwolnioną pamięć, co może prowadzić do błędu segfault lub wycieku danych do obiektu String w Ruby. Problem dotyczy tylko implementacji CRuby (libxml2); JRuby nie jest zagrożony.

CVE-2026-57235
Wysokie

Podatność w bibliotece Nokogiri dla języka Ruby umożliwia odczyt poza zakresem pamięci przez metodę Nokogiri::XML::NodeSet#[] (oraz jej alias #slice). Problem wynika z błędnego sprawdzania zakresu indeksu, który jest obcinany do 32 bitów przed walidacją, co pozwala na użycie bardzo dużego ujemnego indeksu i odczyt poza przydzieloną pamięcią. Na CRuby prowadzi to do awarii procesu, a na JRuby do zwrócenia nieprawidłowego węzła.

CVE-2026-46735
Wysokie

Dell Display and Peripheral Manager (DDPM Mac) w wersjach przed 2.3 zawiera podatność na niewłaściwą neutralizację specjalnych elementów używanych w poleceniach systemowych, co prowadzi do możliwości wykonania poleceń przez atakującego z niskimi uprawnieniami.

CVE-2026-56122
Wysokie

Winstone Servlet Engine w wersji do 0.9.10 zawiera podatność na traversję ścieżek, która pozwala nieautoryzowanym atakującym na odczyt dowolnych plików poprzez wysyłanie żądań HTTP GET z sekwencjami dot-dot-slash. Atakujący mogą uzyskać dostęp do plików poza katalogiem webroot, co może prowadzić do ujawnienia wrażliwych danych.

CVE-2026-56071
Wysokie

W wersjach Forminator do 1.53.1 występuje podatność na nieautoryzowane ataki Cross Site Scripting (XSS). Atakujący może wykorzystać tę lukę do wstrzykiwania złośliwego kodu JavaScript.

CVE-2026-56054
Wysokie

W wersjach JS Help Desk do 3.1.1 występuje podatność, która pozwala subskrybentom na dowolne usuwanie plików.

CVE-2026-56053
Wysokie

Podatność typu PHP Object Injection wtyczki EventPrime w wersjach do 4.3.4.1 umożliwia subskrybentom wstrzyknięcie złośliwych obiektów PHP. Może to prowadzić do zdalnego wykonania kodu lub innych nieautoryzowanych działań na serwerze.

CVE-2026-56051
Wysokie

Wtyczka TablePress dla WordPressa w wersji 3.3.1 i starszych zawiera podatność na nieuwierzytelniony atak typu Cross Site Scripting (XSS). Osoba atakująca może wstrzyknąć złośliwy kod JavaScript bez konieczności logowania.

CVE-2026-56049
Wysokie

Wersje Post Snippets do 4.0.19 zawierają podatność na zdalne wykonanie kodu (RCE), co może umożliwić atakującym uruchomienie nieautoryzowanego kodu na serwerze.

CVE-2026-56042
Wysokie

W wersjach Advanced Order Export For WooCommerce do 4.0.9 występuje podatność na Cross Site Scripting (XSS), która może być wykorzystana przez atakujących do wstrzykiwania złośliwego kodu.

CVE-2026-56014
Wysokie

Wtyczka Master Slider w wersjach do 3.11.2 zawiera podatność na nieuwierzytelniony atak typu Cross Site Scripting (XSS). Osoba atakująca może wstrzyknąć złośliwy kod JavaScript bez konieczności logowania.

CVE-2026-56006
Wysokie

W wersjach H5P do 1.17.6 występuje podatność na nieautoryzowane ataki Cross Site Scripting (XSS). Atakujący może wykorzystać tę lukę do wstrzykiwania złośliwego kodu JavaScript.

CVE-2026-56005
Wysokie

Wtyczka WP Activity Log w wersjach do 5.6.3.1 zawiera podatność typu Cross Site Scripting (XSS), która może być wykorzystana przez subskrybentów.

CVE-2026-54848
Wysokie

Podatność w APIExperts Square dla WooCommerce pozwala na wstrzyknięcie wrażliwych informacji do wysyłanych danych, co umożliwia ich późniejsze odzyskanie.

PoprzedniaStrona 74 z 3361Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS