Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-6684
Średnie

Podatność w bibliotece FatFs przed wersją R0.16, używającej skanowania GPT z włączoną opcją 'FF_LBA64 = 1', powoduje nieskończoną pętlę podczas montowania systemu plików. Problem wynika z nieograniczonej liczby iteracji opartej na polu GPTH_PtNum w nagłówku GPT, co prowadzi do bardzo długiego lub nieskończonego czasu montowania.

CVE-2026-6683
Średnie

Biblioteka FatFs w wersji R0.16 i wcześniejszych zawiera błąd dzielenia przez zero w logice synchronizacji exFAT. Specjalnie spreparowane metadane mogą spowodować, że wartość n_fatent - 2 wyniesie zero podczas operacji zapisu/synchronizacji, prowadząc do awarii systemu.

CVE-2026-6283
Średnie

W aplikacji DivvyDrive firmy DivvyDrive Information Technologies Inc. wykryto podatność na trwałe ataki XSS (Cross-Site Scripting). Luka wynika z nieprawidłowej neutralizacji danych wejściowych podczas generowania stron internetowych, co umożliwia wstrzyknięcie złośliwego skryptu.

CVE-2026-5220
Średnie

W aplikacji DivvyDrive firmy DivvyDrive Information Technologies Inc. wykryto podatność na trwałe ataki XSS (Cross-Site Scripting) spowodowaną niewłaściwą neutralizacją danych wejściowych podczas generowania stron internetowych. Problem dotyczy wersji od 4.8.2.23 do 4.8.3.0.

CVE-2026-5142
Średnie

W oprogramowaniu Foreman stwierdzono podatność, która umożliwia uwierzytelnionym użytkownikom z uprawnieniem 'view_keypairs' pobieranie prywatnych kluczy SSH z innych organizacji poprzez bezpośrednie zapytania o identyfikatory par kluczy. Problem wynika z ominięcia zakresowania taksonomicznego, co prowadzi do nieautoryzowanego dostępu do danych między dzierżawcami.

CVE-2026-5138
Średnie

W Foremanie odkryto podatność ujawnienia informacji między dzierżawami. Uwierzytelniony użytkownik z uprawnieniami do edycji hosta może ominąć kontrolę dostępu i uzyskać wrażliwe dane infrastruktury z nieautoryzowanych organizacji i lokalizacji.

CVE-2026-5135
Średnie

W Foreman znaleziono lukę w kontroli dostępu, która pozwala uwierzytelnionemu użytkownikowi z uprawnieniami do edycji hosta na zmianę istniejącego nadpisania wartości wyszukiwania na inny host. Osiąga się to poprzez modyfikację pola dopasowania za pomocą zagnieżdżonych atrybutów hosta, co skutecznie omija kontrole autoryzacji.

CVE-2026-14330
Średnie

W serwerze protokołu PulseAudio wykryto wiele nieograniczonych wywołań funkcji alloca(), co może prowadzić do przepełnienia stosu i potencjalnego wykonania dowolnego kodu.

CVE-2026-14324
Średnie

Moduł RAOP akceptuje nieograniczone wartości Content-Length i nie sprawdza wartości zwracanej przez pw_array_add().

CVE-2026-12374
Średnie

Podatność w usłudze PrivilegedHelperTool XPC w kliencie Cato Client przed wersją 5.13.1 na macOS wynika z nieprawidłowej walidacji certyfikatów oraz błędu typu TOCTOU (time-of-check time-of-use). Umożliwia to lokalnemu uwierzytelnionemu atakującemu eskalację uprawnień do roota poprzez użycie samopodpisanego certyfikatu i podmianę dowiązania symbolicznego podczas instalacji pakietu.

CVE-2026-14258
Średnie

W bibliotece dhcpcd wykryto podatność w procesie obsługi komunikatów IPv6 Neighbor Discovery Router Advertisement. Specjalnie spreparowany pakiet IPv6 Router Advertisement z opcją Neighbor Discovery o zerowej długości może ominąć walidację podczas przechowywania, a następnie zostać ponownie przetworzony bez odpowiedniej kontroli, powodując zapętlenie parsera. Skuteczne wykorzystanie może prowadzić do nadmiernego zużycia procesora i odmowy usługi.

CVE-2026-10095
Średnie

Wtyczka WP Photo Album Plus dla WordPressa zawiera podatność na trwałe ataki XSS przez parametr 'subtext' w wersjach do 9.1.13.005 włącznie. Brak odpowiedniej sanitacji wejścia i ucieczki wyjścia umożliwia uwierzytelnionym atakującym z dostępem na poziomie współautora i wyższym wstrzyknięcie dowolnych skryptów.

CVE-2026-27435
Średnie

Brak autoryzacji w Woffice umożliwia wykorzystanie nieprawidłowo skonfigurowanych poziomów bezpieczeństwa kontroli dostępu. Podatność dotyczy wersji przed 5.4.33.

CVE-2026-13454
Średnie

Wtyczka MotoPress Appointment Booking dla WordPressa jest podatna na ogólne wstrzykiwanie SQL przez parametr 's' we wszystkich wersjach do 2.4.5 włącznie. Podatność wynika z niedostatecznego oczyszczania parametru i braku odpowiedniego przygotowania zapytania SQL, co umożliwia uwierzytelnionym atakującym z dostępem na poziomie niestandardowym i wyższym dołączanie dodatkowych zapytań SQL do istniejących.

CVE-2026-12754
Średnie

Wtyczka VikBooking Hotel Booking Engine & PMS dla WordPressa jest podatna na odbite ataki typu Cross-Site Scripting (XSS) poprzez parametr 'layoutstyle' we wszystkich wersjach do 1.8.12 włącznie. Podatność wynika z niewystarczającego oczyszczania danych wejściowych i braku odpowiedniego kodowania wyjścia.

CVE-2026-56016
Średnie

Podatność w bibliotece CGI::Session::ID::md5 dla Perla przed wersją 4.49 generuje przewidywalne identyfikatory sesji z niskoentropijnych źródeł. Metoda generate_id tworzy identyfikator sesji z MD5 sumy PID, czasu epoki i funkcji rand(), które są łatwe do odgadnięcia.

CVE-2026-13733
Średnie

Wtyczka Download Manager dla WordPressa jest podatna na trwałe ataki XSS przez atrybut shortcode 'no_data_msg' we wszystkich wersjach do 3.3.60 włącznie. Problem wynika z niedostatecznego oczyszczania danych wejściowych i ucieczki wyjścia, co pozwala uwierzytelnionym atakującym z dostępem na poziomie współautora i wyższym na wstrzyknięcie dowolnych skryptów.

CVE-2026-12732
Średnie

Wtyczka LearnPress dla WordPressa jest podatna na trwałe ataki XSS poprzez atrybut shortcode 'class_wrapper_form' w wersjach do 4.4.0 włącznie. Atakujący z dostępem na poziomie współautora lub wyższym mogą wstrzykiwać dowolne skrypty, które wykonają się podczas przeglądania zainfekowanej strony.

CVE-2026-12435
Średnie

Wtyczka Motors – Car Dealership & Classified Listings dla WordPressa do wersji 1.4.111 zawiera podatność polegającą na pominięciu autoryzacji. Uwierzytelniony atakujący z dostępem na poziomie subskrybenta może oznaczyć lub odznaczyć dowolne ogłoszenie innego użytkownika jako sprzedane, wykorzystując ważny token nonce z własnego ogłoszenia.

CVE-2026-12408
Średnie

Wtyczka Slim SEO dla WordPressa do wersji 4.9.8 włącznie zawiera podatność umożliwiającą nieautoryzowane ujawnienie prywatnych treści. Problem występuje w punkcie końcowym REST API `/wp-json/slim-seo/meta-tags/ai`, który nie sprawdza poprawnie uprawnień użytkownika do odczytu konkretnego posta, co pozwala uwierzytelnionym atakującym z dostępem na poziomie Współautora i wyższym na pobranie podsumowania treści dowolnych postów, w tym prywatnych, szkiców, oczekujących, przyszłych i chronionych hasłem.

PoprzedniaStrona 8 z 519Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS