Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
Atak na łańcuch dostaw wpłynął na oficjalne pakiety instalacyjne DAEMON Tools Lite w wersjach 12.5.0.2421 do 12.5.0.2434, dystrybuowane z legalnej strony daemon-tools.cc w okresie od 8 kwietnia 2026 do 5 maja 2026. Napastnicy uzyskali nieautoryzowany dostęp do infrastruktury budowy lub dystrybucji dostawcy i zainfekowali trzy pliki binarne.
Wtyczka Form Notify dla WordPressa jest podatna na obejście uwierzytelnienia w wersjach do 1.1.10. Problem wynika z zaufania wtyczki do danych cookie kontrolowanych przez użytkownika, co pozwala na dostęp do kont użytkowników bez uwierzytelnienia.
Nieograniczone powiązanie adresu IP w AMD Device Metrics Exporter (ekosystem ROCm) może umożliwić zdalnemu atakującemu wprowadzenie nieautoryzowanych zmian w konfiguracji GPU, co może prowadzić do utraty dostępności.
HRConvert2 przed wersją 3.3.8 ma lukę w funkcji sanitizeString(), która nie usuwa znaków backtick (`) oraz tab ( ). W wyniku tego, dane wejściowe użytkownika mogą trafić do funkcji shell_exec(), co pozwala na wykonanie poleceń w nazwach plików.
W PrestaShop, przed wersjami 8.2.6 i 9.1.1, występuje podatność typu Cross-Site Scripting (XSS) w widoku obsługi klienta w panelu administracyjnym. Atakujący bez uwierzytelnienia może przesłać złośliwy adres e-mail przez formularz kontaktowy, co prowadzi do przechwycenia sesji i pełnej kontroli nad panelem administracyjnym.
Crabbox w wersjach przed v0.12.0 zawiera podatność na ujawnienie zmiennych środowiskowych, która pozwala atakującym z dostępem do złośliwego lub skompromitowanego repozytorium na przesyłanie lokalnych sekretów, takich jak tokeny API, dane uwierzytelniające do chmury i tokeny brokera do zdalnego środowiska poleceń.
Wykorzystanie po zwolnieniu pamięci w Mojo w Google Chrome przed wersją 148.0.7778.168 umożliwia zdalnemu atakującemu potencjalne przeprowadzenie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.
Wykorzystanie po zwolnieniu pamięci w interfejsie użytkownika w Google Chrome przed wersją 148.0.7778.168 umożliwia zdalnemu atakującemu potencjalne wykonanie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.
W oprogramowaniu Fleet, przed wersją 4.81.0, występowała podatność w procesie instalacji, która mogła pozwolić na wykonanie dowolnych poleceń jako root (macOS/Linux) lub SYSTEM (Windows) na zarządzanych punktach końcowych podczas uruchamiania deinstalacji. Złośliwie skonstruowany pakiet oprogramowania mógł prowadzić do niezamierzonego wykonania poleceń.
SiYuan to system zarządzania wiedzą, który przed wersją 3.7.0 nie stosował odpowiedniego zabezpieczenia HTML dla nazw i wersji w plikach plugin.json. W wyniku tego, złośliwy kod HTML mógł być wykonany w interfejsie użytkownika, gdy użytkownik otworzył zakładkę rynku.
SiYuan to otwartoźródłowy system zarządzania wiedzą osobistą. W wersjach przed 3.7.0, nazwy widoków atrybutów są przechowywane bez HTML escape, co prowadzi do możliwości wstrzyknięcia HTML i wykonania kodu Node.js w rendererze.
Gradient to system ciągłej integracji oparty na Nix. W wersji 1.1.0, gdy GRADIENT_DISCOVERABLE=true, każdy, kto ma dostęp do /proto, może zarejestrować się jako pracownik bez żadnych poświadczeń, co prowadzi do nieautoryzowanego dostępu do zadań z każdej organizacji.
SiYuan to system zarządzania wiedzą, który przed wersją 3.7.0 miał problem z obsługą atrybutu aria-label. W wyniku niewłaściwego dekodowania URL, możliwe było wstrzyknięcie złośliwego kodu HTML, co prowadziło do wykonania nieautoryzowanego skryptu.
Aplikacja Note Mark przed wersją 0.19.4 nie wymusza minimalnej długości ani entropii dla wartości konfiguracyjnej JWT_SECRET. Umożliwia to akceptację dowolnego sekretu kodowanego w base64, w tym sekretów o długości zaledwie 1 bajta.
mdserver-web w wersjach od 0.18.0 do 0.18.4 posiada podatność na zdalne wykonanie poleceń bez autoryzacji w interfejsach /modify_crond i /start_task. Brak autoryzacji umożliwia modyfikację domyślnych zadań zaplanowanych oraz ich uruchamianie, co prowadzi do RCE.
FileBrowser Quantum przed wersjami 1.3.1-stable i 1.3.9-beta ma lukę, która pozwala atakującemu na wykorzystanie kontrolowanego przez niego wejścia ścieżki do ucieczki z zamierzonego katalogu współdzielonego. Dzięki temu, nieautoryzowany atakujący z ważnym hashem publicznego udostępnienia i uprawnieniami do usuwania może usunąć dowolne pliki poza tym katalogiem.
W Microsoft Authenticator występuje podatność, która umożliwia nieautoryzowanemu atakującemu ujawnienie wrażliwych informacji przez sieć.
Valtimo to platforma automatyzacji procesów biznesowych, która ma podatność umożliwiającą wykonanie zdalnego kodu oraz wyciek danych uwierzytelniających. Wersje od 12.0.0 do przed 12.32.0 dla com.ritense.valtimo:document oraz od 13.0.0 do przed 13.23.0 dla com.ritense.valtimo:case i com.ritense.valtimo:contract są narażone na atak.
W podatności CVE-2026-20182 zidentyfikowano problem z mechanizmem uwierzytelniania w Cisco Catalyst SD-WAN Controller, Manager i Validator, który umożliwia nieautoryzowanemu atakującemu ominięcie uwierzytelnienia i uzyskanie uprawnień administracyjnych. Atakujący może wykorzystać tę lukę, wysyłając spreparowane żądania do systemu.
Gotenberg to API do plików PDF, które przed wersją 8.31.0 miało lukę w funkcji downloadFrom oraz webhook. Domyślne listy blokad były podatne na obejście, co pozwalało nieautoryzowanym atakującym na dostęp do wewnętrznych usług HTTP.

