Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2025-24815
Wysokie

Nokia MantaRay NM zawiera podatność polegającą na nieograniczonym przesyłaniu plików z powodu niewystarczającej walidacji typów plików. Umożliwia to uwierzytelnionemu atakującemu przesłanie złośliwych plików do systemu.

CVE-2026-45822
Średnie

Biblioteka decode-uri-component w wersji do 0.4.1 jest podatna na atak typu odmowa usługi (DoS). Funkcja decode() dzieli wejście na tokeny według znaku '%', a następnie wywołuje decodeComponents(), co prowadzi do super-liniowego czasu przetwarzania: 200 tokenów '%ab' zajmuje około 0,7s, 700 tokenów około 6s, a 1400 tokenów około 33s. Atakujący może wykorzystać spreparowane dane wejściowe do znacznego obciążenia procesora i zablokowania pętli zdarzeń.

CVE-2026-12578
Wysokie

Podatność umożliwia deserializację niezaufanych danych, co może pozwolić atakującemu na wykonanie dowolnego kodu.

CVE-2026-9576
Średnie

Wtyczka Fluent Booking dla WordPress przed wersją 2.1.2 nie weryfikuje własności żądanego group_id przed eksportem danych uczestników przez endpoint eksportu. Użytkownicy z rolą co najmniej Calendar Manager mogą pobierać dane osobowe (PII) uczestników z grup kalendarza, których nie są właścicielami.

CVE-2026-56809
Średnie

W wielu drukarkach laserowych i urządzeniach wielofunkcyjnych (MFP) implementujących Ricoh Web Image Monitor wykryto podatność na odbity cross-site scripting (XSS). Atakujący może wykorzystać tę lukę do wykonania dowolnego skryptu w przeglądarce użytkownika odwiedzającego Web Image Monitor.

CVE-2026-56808
WysokieEPSS 72%

Urządzenie DGM3103SCT firmy AVTECH Security Corporation zawiera podatność na wstrzykiwanie poleceń systemu operacyjnego. Użytkownik posiadający dostęp do konsoli zarządzania webowego może wykonać dowolne polecenia z uprawnieniami roota.

CVE-2026-56137
Wysokie

W oprogramowaniu RPG MAKER MV i MZ firmy Gotcha Gotcha Games Inc. wykryto podatność na wstrzykiwanie poleceń systemu operacyjnego. Załadowanie specjalnie spreparowanego pliku zapisu może prowadzić do wykonania dowolnego polecenia OS.

CVE-2026-14164
Wysokie

W bibliotece libarchive w czytniku RAR5 wykryto podwójne zwolnienie pamięci. Podczas przetwarzania specjalnie spreparowanego archiwum RAR5 wskaźnik filtered_buf może pozostać nieaktualny po zwolnieniu w trakcie reinicjalizacji stanu rozpakowywania. Kolejne przetwarzanie innego wpisu archiwum może spowodować ponowne zwolnienie tego samego obszaru pamięci, prowadząc do podwójnego zwolnienia.

CVE-2026-12819
Krytyczne

Sterownik PLC Delta Electronics DVP12SE udostępnia usługę Modbus TCP bez wymaganego uwierzytelniania ani kontroli dostępu, co pozwala nieuwierzytelnionym atakującym na interakcję z wrażliwymi funkcjami bezpieczeństwa sterownika.

CVE-2026-12818
Krytyczne

Sterowniki PLC Delta Electronics DVP12SE są podatne na atak polegający na nieograniczonej alokacji zasobów w usłudze Modbus TCP. Brak limitów lub mechanizmów ograniczających może prowadzić do wyczerpania zasobów systemowych.

CVE-2026-12240
Wysokie

Wtyczka Export User Data dla WordPressa jest podatna na dowolne usuwanie plików z powodu niewystarczającej walidacji ścieżki pliku w funkcji unserialize. Luka występuje we wszystkich wersjach do 2.2.6 włącznie i umożliwia uwierzytelnionym atakującym z dostępem na poziomie subskrybenta lub wyższym usuwanie dowolnych plików na serwerze.

CVE-2026-11590
Wysokie

Wtyczka WP Support Plus Responsive Ticket System dla WordPressa w wersji do 9.1.2 nie oczyszcza kluczy tablic dostarczanych przez użytkownika przed użyciem ich w zapytaniu SQL, co pozwala nieuwierzytelnionym użytkownikom na przeprowadzanie ataków SQL injection.

CVE-2026-11589
Wysokie

Wtyczka WP Support Plus Responsive Ticket System dla WordPressa w wersji do 9.1.2 nieprawidłowo waliduje przesyłane pliki, umożliwiając niezalogowanym użytkownikom wgrywanie plików z złośliwym JavaScript (np. HTML lub SVG) do publicznie dostępnej lokalizacji, co prowadzi do trwałego ataku Cross-Site Scripting na użytkowników i administratorów witryny.

CVE-2026-11581
Średnie

Wtyczka Kali Forms dla WordPressa przed wersją 2.4.13 nie oczyszcza opisu pola formularza przed wyświetleniem go jako nagłówka kolumny na ekranie administratora. Użytkownicy z rolą Współautora lub wyższą mogą wstrzyknąć JavaScript, który wykona się w sesji administratora. Brak kontroli uprawnień w akcji duplikowania wpisów pozwala Współautorowi opublikować złośliwy formularz, który administrator wyświetli.

CVE-2026-8944
Średnie

Wtyczka Plugin for Google Analytics by IO technologies dla WordPressa jest podatna na atak Cross-Site Request Forgery (CSRF) w wersjach do 1.1 włącznie. Brak walidacji tokena nonce na stronie ustawień Google Analytics (ga.php) umożliwia nieuwierzytelnionym atakującym zmianę identyfikatora śledzenia Google Analytics (io-ga-id) poprzez sfałszowane żądanie, pod warunkiem nakłonienia administratora do kliknięcia w link.

CVE-2026-12560
Średnie

Wtyczka Editorial Rating – Product Review & Rating System dla WordPressa do wersji 4.0.5 włącznie zawiera podatność na trwałe ataki XSS przez pole 'Link URL'. Wynika to z niedostatecznego oczyszczania danych wejściowych i braku odpowiedniego kodowania wyjścia, co umożliwia uwierzytelnionym atakującym z uprawnieniami administratora wstrzyknięcie dowolnego kodu JavaScript.

CVE-2026-12349
Średnie

Wtyczka Premium Addons for KingComposer dla WordPressa do wersji 1.1.1 włącznie jest podatna na nieautoryzowaną modyfikację i utratę danych. Brak autoryzacji i kontroli uprawnień w handlerach AJAX add_custom_sidebar() i remove_custom_sidebar() pozwala nieuwierzytelnionym atakującym na tworzenie lub usuwanie niestandardowych obszarów widgetów, co może prowadzić do cichej utraty rejestracji widgetów i ich niewyświetlania.

CVE-2026-12073
Krytyczne

Wtyczka ProfileGrid dla WordPressa do wersji 5.9.9.5 włącznie zawiera podatność umożliwiającą eskalację uprawnień poprzez przejęcie konta. Brak walidacji parametru `user_login` w formularzach rejestracyjnych oraz nieprawidłowa obsługa komunikatów błędów pozwalają nieuwierzytelnionemu atakującemu na zmianę adresu e-mail konta o ID=1 (zazwyczaj administratora), a następnie zresetowanie hasła i przejęcie dostępu.

CVE-2026-11367
Średnie

Wtyczka PixMagix – WordPress Image Editor do WordPressa jest podatna na Directory Traversal we wszystkich wersjach do 1.7.2 włącznie, poprzez funkcję move_image_on_server. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie autora i wyższym zapisywanie plików z dowolną treścią w dowolnych lokalizacjach na serwerze.

CVE-2026-14160
Średnie

W bibliotece Samsung Open Source Escargot wykryto podatność typu TOCTOU (Time-of-check time-of-use) polegającą na wyścigu (race condition). Luka umożliwia wykorzystanie warunków wyścigu do naruszenia integralności danych.

PoprzedniaStrona 95 z 4490Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS