Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.13)

CVE-2026-12100
Wysokie

Wtyczka URL Preview dla WordPressa jest podatna na atak typu Server-Side Request Forgery we wszystkich wersjach do i włącznie z 1.0 poprzez parametr 'url'. Umożliwia to nieautoryzowanym atakującym wykonywanie żądań sieciowych do dowolnych lokalizacji z aplikacji webowej.

CVE-2026-12095
Wysokie

Wtyczka Kargo Takip dla WordPressa jest podatna na atak typu Server-Side Request Forgery we wszystkich wersjach do i włącznie z 1.2, poprzez parametr 'api_url'. Umożliwia to nieautoryzowanym atakującym wykonywanie żądań sieciowych do dowolnych lokalizacji z poziomu aplikacji webowej.

CVE-2026-10749
Wysokie

Wtyczka Post Duplicator dla WordPressa przed wersją 3.0.15 nieprawidłowo obsługuje niestandardowe metadane podczas duplikacji postów, co pozwala na przechowywanie wartości dostarczonych przez atakującego bez ochrony podwójnej serializacji API metadanych WordPressa.

CVE-2026-10735
Wysokie

Wtyczki WordPress, takie jak Shapedsmart-post-show-pro, Real Testimonials Pro oraz Product Slider for WooCommerce, przed określonymi wersjami zawierały złośliwy kod. Zostały one dystrybuowane przez skompromitowany serwer aktualizacji dostawcy, co umożliwiło atakującym bez uwierzytelnienia wdrożenie drugiego etapu ataku.

CVE-2026-10092
Wysokie

Wtyczka Cincopa do WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez shortcode cincopa w komentarzach postów w wersjach do 1.163 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia.

CVE-2026-10091
Wysokie

Wtyczka Email JavaScript Cloak dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez shortcode 'email' we wszystkich wersjach do 1.03 włącznie, z powodu niewystarczającej sanitizacji danych wejściowych i ucieczki danych wyjściowych. Umożliwia to uwierzytelnionym atakującym, posiadającym dostęp na poziomie współpracownika i wyżej, wstrzykiwanie dowolnych skryptów webowych na stronach, które będą wykonywane przy każdym dostępie użytkownika do zainfekowanej strony.

CVE-2026-3652
Wysokie

Wtyczka ARForms dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez parametr `value` w akcji AJAX `arf_save_incomplete_form_data` w wersjach do 7.1.3 włącznie, z powodu niewystarczającej sanitizacji danych wejściowych i ucieczki danych wyjściowych.

CVE-2026-12681
Wysokie

W podatności w Google go-attestation, funkcja parseEfiSignatureList() nieprawidłowo waliduje indeksy, co pozwala na dodanie kontrolowanych przez atakującego bajtów nagłówka dostawcy do zaufanej listy hashy SHA256. Może to prowadzić do akceptacji skompromitowanego stanu rozruchu przez weryfikator zdalnej attestation.

CVE-2026-54639
Wysokie

Style Dictionary, system budowania do tworzenia stylów międzyplatformowych, ma podatność na zanieczyszczenie prototypu od wersji 4.3.0 do 5.4.4. Użytkownicy są narażeni na ryzyko w przypadku bezpośredniego lub pośredniego użycia API, szczególnie w aplikacjach serwerowych NodeJS.

CVE-2026-7574
Wysokie

Podatność w Anthropic Claude Desktop (wersje od v1.1348.0 do v1.2278.0) polega na braku weryfikacji integralności obrazu systemu plików maszyny wirtualnej Cowork. Lokalny atakujący z nieuprzywilejowanym dostępem do konta macOS może zmodyfikować obraz rootfs.img, który zostanie załadowany przy kolejnym uruchomieniu VM, co umożliwia trwałe wykonanie dowolnego kodu w maszynie wirtualnej i dostęp do zamontowanych katalogów hosta.

CVE-2026-5818
Wysokie

Błędna weryfikacja wartości zwracanej funkcji w oprogramowaniu Caliptra Core Runtime Firmware umożliwia obejście weryfikacji oprogramowania MCU podczas aktualizacji bez przestojów.

CVE-2026-56785
Wysokie

FlatPress zawiera podatność na przechowywane ataki typu cross-site scripting w formularzach komentarzy i kontaktowych, gdzie pola imienia, URL i e-mail są renderowane bez odpowiedniego kodowania wyjściowego w szablonach Smarty. Atakujący mogą wstrzykiwać dowolny HTML i JavaScript przez te pola.

CVE-2026-11972
Wysokie

Podatność w module 'tarfile' języka Python występuje podczas otwierania archiwum w trybie strumieniowym (mode='r|'). Moduł nieprawidłowo obsługuje koniec pliku (EOF), co powoduje wykładnicze wydłużenie czasu parsowania archiwum.

CVE-2026-54513
Wysokie

Podatność w jackson-databind pozwala na ominięcie listy dozwolonych typów (allowlist) poprzez tablice. Metoda allowIfSubTypeIsArray() w BasicPolymorphicTypeValidator zezwala na dowolny typ tablicowy bez weryfikacji typu elementu, co umożliwia deserializację niebezpiecznych obiektów.

CVE-2026-54512
Wysokie

Podatność w jackson-databind pozwala na ominięcie mechanizmu PolymorphicTypeValidator (PTV) podczas deserializacji polimorficznej. Gdy typ zawiera parametry generyczne (np. ArrayList<Gadget>), walidacja sprawdza tylko nazwę kontenera, a nie typów zagnieżdżonych, co umożliwia załadowanie niebezpiecznej klasy jako parametru generycznego.

CVE-2026-50193
Wysokie

Podatność w jackson-databind od wersji 2.13.0 do 2.14.0 umożliwia atak DoS poprzez wysłanie głęboko zagnieżdżonego JSON-a (tysiące poziomów) odczytywanego jako JsonNode i zapisywanego za pomocą toString(). Nawet niewielkie żądania (1000 zagnieżdżonych tablic to 2kB) mogą znacząco obciążyć zasoby systemowe.

CVE-2026-47387
Wysokie

NocoDB przed wersją 2026.05.1 ma podatność, która pozwala użytkownikom z rolą edytora na wstrzyknięcie złośliwego kodu JavaScript poprzez pole redirect_url formularza. Po otwarciu linku udostępnionego przez uwierzytelnionego użytkownika, kod ten może zostać wykonany w kontekście NocoDB.

CVE-2026-47383
Wysokie

NocoDB przed wersją 2026.05.1 pozwalał uwierzytelnionym komentatorom na przechowywanie HTML w komentarzach wierszy, co skutkowało wykonaniem skryptu podczas najeżdżania kursorem na komentarz w widoku rozszerzonym. Brak sanitizacji po stronie serwera umożliwiał wstrzykiwanie złośliwego kodu.

CVE-2026-41862
Wysokie

Spring Statemachine posiada podatność w backendach opartych na Kryo, które deserializują konteksty maszyn stanowych bez egzekwowania listy dozwolonych klas. Może to prowadzić do zdalnego wykonania kodu w JVM aplikacji.

CVE-2026-23513
Wysokie

W FOSSBilling w wersjach 0.7.2 i wcześniejszych, w punktach końcowych listy klientów, błąd w konstrukcji zapytań umożliwiał uwierzytelnionym klientom ominięcie ograniczeń dzierżawy i pobranie danych innych klientów. Problem wynikał z nieprawidłowego grupowania filtrów w zapytaniach, co pozwalało na niezależne wykonanie klauzul OR od wymuszonego ograniczenia client_id.

PoprzedniaStrona 85 z 3355Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS