Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-12076
Krytyczne

Raytha CMS zawiera podatność na wstrzykiwanie SQL w mechanizmie parsowania filtrów OData. Umożliwia ona zdalnemu, nieuwierzytelnionemu atakującemu wykonanie dowolnych zapytań SQL na bazie PostgreSQL, co prowadzi do pełnego przejęcia bazy danych, w tym wyodrębnienia danych uwierzytelniających.

CVE-2026-10763
Wysokie

Podatność w PROMOD V wynika z używania niezabezpieczonego protokołu HTTP zamiast HTTPS. Problem leży po stronie serwera Digipede, który nie obsługuje szyfrowanego połączenia.

CVE-2025-7406
Wysokie

Podatność w Nokia MantaRay NM umożliwia lokalnemu atakującemu z uprawnieniami administratora lokalnego eskalację do pełnych uprawnień root na hoście. Udane wykorzystanie prowadzi do dostępu do systemu plików na poziomie root i możliwości wykonywania działań jako root.

CVE-2025-24816
Średnie

W produkcie Nokia MantaRay wykryto podatność związaną z nieprawidłową kontrolą dostępu w API. Brak wystarczającej autoryzacji umożliwia uwierzytelnionemu atakującemu odczytanie poufnych informacji wykraczających poza jego uprawnienia.

CVE-2025-24815
Wysokie

Nokia MantaRay NM zawiera podatność polegającą na nieograniczonym przesyłaniu plików z powodu niewystarczającej walidacji typów plików. Umożliwia to uwierzytelnionemu atakującemu przesłanie złośliwych plików do systemu.

CVE-2026-45822
Średnie

Biblioteka decode-uri-component w wersji do 0.4.1 jest podatna na atak typu odmowa usługi (DoS). Funkcja decode() dzieli wejście na tokeny według znaku '%', a następnie wywołuje decodeComponents(), co prowadzi do super-liniowego czasu przetwarzania: 200 tokenów '%ab' zajmuje około 0,7s, 700 tokenów około 6s, a 1400 tokenów około 33s. Atakujący może wykorzystać spreparowane dane wejściowe do znacznego obciążenia procesora i zablokowania pętli zdarzeń.

CVE-2026-12578
Wysokie

Podatność umożliwia deserializację niezaufanych danych, co może pozwolić atakującemu na wykonanie dowolnego kodu.

CVE-2026-9576
Średnie

Wtyczka Fluent Booking dla WordPress przed wersją 2.1.2 nie weryfikuje własności żądanego group_id przed eksportem danych uczestników przez endpoint eksportu. Użytkownicy z rolą co najmniej Calendar Manager mogą pobierać dane osobowe (PII) uczestników z grup kalendarza, których nie są właścicielami.

CVE-2026-56809
Średnie

W wielu drukarkach laserowych i urządzeniach wielofunkcyjnych (MFP) implementujących Ricoh Web Image Monitor wykryto podatność na odbity cross-site scripting (XSS). Atakujący może wykorzystać tę lukę do wykonania dowolnego skryptu w przeglądarce użytkownika odwiedzającego Web Image Monitor.

CVE-2026-56808
WysokieEPSS 72%

Urządzenie DGM3103SCT firmy AVTECH Security Corporation zawiera podatność na wstrzykiwanie poleceń systemu operacyjnego. Użytkownik posiadający dostęp do konsoli zarządzania webowego może wykonać dowolne polecenia z uprawnieniami roota.

CVE-2026-56137
Wysokie

W oprogramowaniu RPG MAKER MV i MZ firmy Gotcha Gotcha Games Inc. wykryto podatność na wstrzykiwanie poleceń systemu operacyjnego. Załadowanie specjalnie spreparowanego pliku zapisu może prowadzić do wykonania dowolnego polecenia OS.

CVE-2026-14164
Wysokie

W bibliotece libarchive w czytniku RAR5 wykryto podwójne zwolnienie pamięci. Podczas przetwarzania specjalnie spreparowanego archiwum RAR5 wskaźnik filtered_buf może pozostać nieaktualny po zwolnieniu w trakcie reinicjalizacji stanu rozpakowywania. Kolejne przetwarzanie innego wpisu archiwum może spowodować ponowne zwolnienie tego samego obszaru pamięci, prowadząc do podwójnego zwolnienia.

CVE-2026-12819
Krytyczne

Sterownik PLC Delta Electronics DVP12SE udostępnia usługę Modbus TCP bez wymaganego uwierzytelniania ani kontroli dostępu, co pozwala nieuwierzytelnionym atakującym na interakcję z wrażliwymi funkcjami bezpieczeństwa sterownika.

CVE-2026-12818
Krytyczne

Sterowniki PLC Delta Electronics DVP12SE są podatne na atak polegający na nieograniczonej alokacji zasobów w usłudze Modbus TCP. Brak limitów lub mechanizmów ograniczających może prowadzić do wyczerpania zasobów systemowych.

CVE-2026-12240
Wysokie

Wtyczka Export User Data dla WordPressa jest podatna na dowolne usuwanie plików z powodu niewystarczającej walidacji ścieżki pliku w funkcji unserialize. Luka występuje we wszystkich wersjach do 2.2.6 włącznie i umożliwia uwierzytelnionym atakującym z dostępem na poziomie subskrybenta lub wyższym usuwanie dowolnych plików na serwerze.

CVE-2026-11590
Wysokie

Wtyczka WP Support Plus Responsive Ticket System dla WordPressa w wersji do 9.1.2 nie oczyszcza kluczy tablic dostarczanych przez użytkownika przed użyciem ich w zapytaniu SQL, co pozwala nieuwierzytelnionym użytkownikom na przeprowadzanie ataków SQL injection.

CVE-2026-11589
Wysokie

Wtyczka WP Support Plus Responsive Ticket System dla WordPressa w wersji do 9.1.2 nieprawidłowo waliduje przesyłane pliki, umożliwiając niezalogowanym użytkownikom wgrywanie plików z złośliwym JavaScript (np. HTML lub SVG) do publicznie dostępnej lokalizacji, co prowadzi do trwałego ataku Cross-Site Scripting na użytkowników i administratorów witryny.

CVE-2026-11581
Średnie

Wtyczka Kali Forms dla WordPressa przed wersją 2.4.13 nie oczyszcza opisu pola formularza przed wyświetleniem go jako nagłówka kolumny na ekranie administratora. Użytkownicy z rolą Współautora lub wyższą mogą wstrzyknąć JavaScript, który wykona się w sesji administratora. Brak kontroli uprawnień w akcji duplikowania wpisów pozwala Współautorowi opublikować złośliwy formularz, który administrator wyświetli.

CVE-2026-8944
Średnie

Wtyczka Plugin for Google Analytics by IO technologies dla WordPressa jest podatna na atak Cross-Site Request Forgery (CSRF) w wersjach do 1.1 włącznie. Brak walidacji tokena nonce na stronie ustawień Google Analytics (ga.php) umożliwia nieuwierzytelnionym atakującym zmianę identyfikatora śledzenia Google Analytics (io-ga-id) poprzez sfałszowane żądanie, pod warunkiem nakłonienia administratora do kliknięcia w link.

CVE-2026-12560
Średnie

Wtyczka Editorial Rating – Product Review & Rating System dla WordPressa do wersji 4.0.5 włącznie zawiera podatność na trwałe ataki XSS przez pole 'Link URL'. Wynika to z niedostatecznego oczyszczania danych wejściowych i braku odpowiedniego kodowania wyjścia, co umożliwia uwierzytelnionym atakującym z uprawnieniami administratora wstrzyknięcie dowolnego kodu JavaScript.

PoprzedniaStrona 92 z 4466Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS