Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-6953
Średnie

W CMS WebControl v3.5 firmy Intermark IT wykryto podatność na wstrzykiwanie kodu HTML. Atakujący może wysłać ofierze wiadomość e-mail zawierającą złośliwy kod HTML za pomocą formularza kontaktowego. Wykorzystanie podatności wymaga wysłania żądania z parametrami 'nombreApellidos', 'dirección' i 'comentarios' do '/processContact.do'.

CVE-2026-13149
Wysokie

Podatność w bibliotece brace-expansion do wersji 5.0.6 umożliwia atak DoS poprzez przesłanie specjalnie spreparowanego ciągu znaków. Funkcja expand() ma złożoność wykładniczą w przypadku dużej liczby kolejnych grup klamrowych '{}', co prowadzi do znacznego obciążenia CPU i blokowania pętli zdarzeń. Opcja max nie chroni przed tym atakiem, ponieważ ogranicza rozmiar wyniku, a nie pracę rekurencyjną.

CVE-2026-12610
Średnie

W bibliotece SSSD (System Security Services Daemon) wykryto podatność use-after-free w komponencie PAM odpowiedzialnym za uwierzytelnianie za pomocą YubiKey. Błąd wynika z nieprawidłowego zarządzania wskaźnikiem pamięci, co może prowadzić do awarii procesu. Lokalny atakujący może wykorzystać tę lukę poprzez manipulację zawartością karty inteligentnej lub YubiKey.

CVE-2026-12076
Krytyczne

Raytha CMS zawiera podatność na wstrzykiwanie SQL w mechanizmie parsowania filtrów OData. Umożliwia ona zdalnemu, nieuwierzytelnionemu atakującemu wykonanie dowolnych zapytań SQL na bazie PostgreSQL, co prowadzi do pełnego przejęcia bazy danych, w tym wyodrębnienia danych uwierzytelniających.

CVE-2026-10763
Wysokie

Podatność w PROMOD V wynika z używania niezabezpieczonego protokołu HTTP zamiast HTTPS. Problem leży po stronie serwera Digipede, który nie obsługuje szyfrowanego połączenia.

CVE-2025-7406
Wysokie

Podatność w Nokia MantaRay NM umożliwia lokalnemu atakującemu z uprawnieniami administratora lokalnego eskalację do pełnych uprawnień root na hoście. Udane wykorzystanie prowadzi do dostępu do systemu plików na poziomie root i możliwości wykonywania działań jako root.

CVE-2025-24816
Średnie

W produkcie Nokia MantaRay wykryto podatność związaną z nieprawidłową kontrolą dostępu w API. Brak wystarczającej autoryzacji umożliwia uwierzytelnionemu atakującemu odczytanie poufnych informacji wykraczających poza jego uprawnienia.

CVE-2025-24815
Wysokie

Nokia MantaRay NM zawiera podatność polegającą na nieograniczonym przesyłaniu plików z powodu niewystarczającej walidacji typów plików. Umożliwia to uwierzytelnionemu atakującemu przesłanie złośliwych plików do systemu.

CVE-2026-45822
Średnie

Biblioteka decode-uri-component w wersji do 0.4.1 jest podatna na atak typu odmowa usługi (DoS). Funkcja decode() dzieli wejście na tokeny według znaku '%', a następnie wywołuje decodeComponents(), co prowadzi do super-liniowego czasu przetwarzania: 200 tokenów '%ab' zajmuje około 0,7s, 700 tokenów około 6s, a 1400 tokenów około 33s. Atakujący może wykorzystać spreparowane dane wejściowe do znacznego obciążenia procesora i zablokowania pętli zdarzeń.

CVE-2026-12578
Wysokie

Podatność umożliwia deserializację niezaufanych danych, co może pozwolić atakującemu na wykonanie dowolnego kodu.

CVE-2026-9576
Średnie

Wtyczka Fluent Booking dla WordPress przed wersją 2.1.2 nie weryfikuje własności żądanego group_id przed eksportem danych uczestników przez endpoint eksportu. Użytkownicy z rolą co najmniej Calendar Manager mogą pobierać dane osobowe (PII) uczestników z grup kalendarza, których nie są właścicielami.

CVE-2026-56809
Średnie

W wielu drukarkach laserowych i urządzeniach wielofunkcyjnych (MFP) implementujących Ricoh Web Image Monitor wykryto podatność na odbity cross-site scripting (XSS). Atakujący może wykorzystać tę lukę do wykonania dowolnego skryptu w przeglądarce użytkownika odwiedzającego Web Image Monitor.

CVE-2026-56808
WysokieEPSS 72%

Urządzenie DGM3103SCT firmy AVTECH Security Corporation zawiera podatność na wstrzykiwanie poleceń systemu operacyjnego. Użytkownik posiadający dostęp do konsoli zarządzania webowego może wykonać dowolne polecenia z uprawnieniami roota.

CVE-2026-56137
Wysokie

W oprogramowaniu RPG MAKER MV i MZ firmy Gotcha Gotcha Games Inc. wykryto podatność na wstrzykiwanie poleceń systemu operacyjnego. Załadowanie specjalnie spreparowanego pliku zapisu może prowadzić do wykonania dowolnego polecenia OS.

CVE-2026-14164
Wysokie

W bibliotece libarchive w czytniku RAR5 wykryto podwójne zwolnienie pamięci. Podczas przetwarzania specjalnie spreparowanego archiwum RAR5 wskaźnik filtered_buf może pozostać nieaktualny po zwolnieniu w trakcie reinicjalizacji stanu rozpakowywania. Kolejne przetwarzanie innego wpisu archiwum może spowodować ponowne zwolnienie tego samego obszaru pamięci, prowadząc do podwójnego zwolnienia.

CVE-2026-12819
Krytyczne

Sterownik PLC Delta Electronics DVP12SE udostępnia usługę Modbus TCP bez wymaganego uwierzytelniania ani kontroli dostępu, co pozwala nieuwierzytelnionym atakującym na interakcję z wrażliwymi funkcjami bezpieczeństwa sterownika.

CVE-2026-12818
Krytyczne

Sterowniki PLC Delta Electronics DVP12SE są podatne na atak polegający na nieograniczonej alokacji zasobów w usłudze Modbus TCP. Brak limitów lub mechanizmów ograniczających może prowadzić do wyczerpania zasobów systemowych.

CVE-2026-12240
Wysokie

Wtyczka Export User Data dla WordPressa jest podatna na dowolne usuwanie plików z powodu niewystarczającej walidacji ścieżki pliku w funkcji unserialize. Luka występuje we wszystkich wersjach do 2.2.6 włącznie i umożliwia uwierzytelnionym atakującym z dostępem na poziomie subskrybenta lub wyższym usuwanie dowolnych plików na serwerze.

CVE-2026-11590
Wysokie

Wtyczka WP Support Plus Responsive Ticket System dla WordPressa w wersji do 9.1.2 nie oczyszcza kluczy tablic dostarczanych przez użytkownika przed użyciem ich w zapytaniu SQL, co pozwala nieuwierzytelnionym użytkownikom na przeprowadzanie ataków SQL injection.

CVE-2026-11589
Wysokie

Wtyczka WP Support Plus Responsive Ticket System dla WordPressa w wersji do 9.1.2 nieprawidłowo waliduje przesyłane pliki, umożliwiając niezalogowanym użytkownikom wgrywanie plików z złośliwym JavaScript (np. HTML lub SVG) do publicznie dostępnej lokalizacji, co prowadzi do trwałego ataku Cross-Site Scripting na użytkowników i administratorów witryny.

PoprzedniaStrona 96 z 4495Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS