Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.13)

CVE-2026-12778
Wysokie

Wykryto podatność w AOMEI Partition Assistant do wersji 10.10.1, która dotyczy nieznanego kodu w bibliotece ampa10.sys komponentu Kernel Driver. Manipulacja ta prowadzi do niewłaściwych kontroli dostępu.

CVE-2026-12775
Wysokie

Wykryto podatność w Montodel House-Rental-Management, która dotyczy pliku /login.php. Manipulacja argumentem Username prowadzi do wstrzyknięcia SQL, co umożliwia zdalne przeprowadzenie ataku.

CVE-2026-12773
Wysokie

W BerriAI litellm do wersji 1.59.8 wykryto słabość w funkcji UserAPIKeyAuth pliku auth/user_api_key_auth_mcp.py komponentu MCP Proxy. Manipulacja może prowadzić do nieprawidłowego uwierzytelnienia, a atak może być przeprowadzony zdalnie.

CVE-2026-56345
Wysokie

AVideo w wersji do 29.0 zawiera lukę w autoryzacji w punkcie końcowym uploadRecordedVideo.json.php wtyczki Meet, która pozwala na obejście autoryzacji. Atakujący może wykorzystać złośliwy plik z odpowiednią nazwą, aby uzyskać dostęp do sesji dowolnego użytkownika, w tym administratora.

CVE-2026-56341
Wysokie

AVideo w wersji do 26.0 zawiera wiele punktów końcowych list.json.php w wtyczkach płatności, które nie mają kontroli autoryzacji, co prowadzi do ujawnienia tokenów PayPal, webhooków Authorize.Net oraz rekordów transakcji Bitcoin.

CVE-2026-56340
Wysokie

Podatność w vLLM w wersjach od 0.10.2 do 0.12.9 (włącznie) wynika z braku walidacji rzadkich tensorów w przetwarzaniu osadzeń multimodalnych. Ponieważ PyTorch domyślnie wyłącza sprawdzanie niezmienników rzadkich tensorów, atakujący może wysłać spreparowane żądania osadzeń z nieprawidłowymi indeksami (ujemnymi lub poza zakresem), gdy funkcja prompt-embeds jest włączona, co prowadzi do awarii, wyczerpania zasobów (odmowa usługi) oraz potencjalnie do uszkodzenia pamięci typu out-of-bounds/write-what-where.

CVE-2020-37255
Wysokie

Wtyczka WordPress Time Capsule w wersji 1.21.16 zawiera lukę umożliwiającą ominięcie uwierzytelnienia, co pozwala nieautoryzowanym atakującym uzyskać dostęp administracyjny poprzez wysłanie odpowiednio skonstruowanego żądania POST z nagłówkiem IWP_JSON_PREFIX. Atakujący mogą wykorzystać tę lukę do uzyskania ważnych ciasteczek sesyjnych administratora i dostępu do panelu WordPress bez podawania danych uwierzytelniających.

CVE-2026-11912
Wysokie

Wtyczka Simple File List dla WordPressa jest podatna na nieautoryzowaną modyfikację plików z powodu niewystarczających kontroli autoryzacji w wersjach do 6.3.7 włącznie. Umożliwia to nieautoryzowanym atakującym usuwanie i modyfikowanie plików na serwerze.

CVE-2026-11911
WysokieEPSS 51%

Wtyczka Simple File List dla WordPressa jest podatna na nieautoryzowane usuwanie plików z powodu niewystarczającej walidacji ścieżek plików w funkcji eeSFL_DeleteFile we wszystkich wersjach do 6.3.7 włącznie. Umożliwia to nieautoryzowanym atakującym usunięcie dowolnych plików na serwerze.

CVE-2026-9843
Wysokie

Wtyczka Database for Contact Form 7, WPforms, Elementor forms dla WordPressa jest podatna na usuwanie dowolnych plików z powodu niewystarczającej walidacji ścieżek plików w funkcji view_page we wszystkich wersjach do i włącznie z 1.5.1. Umożliwia to nieautoryzowanym atakującym usuwanie dowolnych plików na serwerze.

CVE-2026-56216
Wysokie

Capgo w wersjach przed 12.128.2 zawiera podatność na eskalację zakresu w punkcie końcowym POST /functions/v1/apikey, która pozwala na generowanie nieograniczonych kluczy API przez klucze z ograniczeniami aplikacji poprzez ustawienie pustych limitów.

CVE-2026-56215
Wysokie

Capgo w wersjach przed 12.128.12 pozwala uwierzytelnionym użytkownikom na modyfikację swojego adresu e-mail public.users.email na dowolny adres. Punkt końcowy SSO, który obsługuje przydzielanie użytkowników, ufa temu adresowi jako kluczowi do łączenia kont.

CVE-2026-56214
Wysokie

Capgo w wersjach przed 12.128.2 zawiera podatność na ujawnienie informacji w punktach końcowych Supabase PostgREST RPC is_trial_org i is_paying_org, która pozwala nieautoryzowanym atakującym na enumerację organizacji oraz ujawnienie statusu płatności przy użyciu publicznego klucza sb_publishable.

CVE-2026-56082
Wysokie

Capgo przed wersją 12.128.2 zawiera podatność na niewłaściwą kontrolę dostępu w funkcji RPC PostgREST public.record_build_time, która jest dostępna dla roli anon i może być wywoływana za pomocą publicznego klucza anon. Atakujący bez uwierzytelnienia może wstawiać wiersze do public.build_logs dla dowolnych organizacji, co pozwala na modyfikację istniejących rekordów użycia/billingu.

CVE-2026-50559
Wysokie

W Quarkusie, frameworku Java do budowania aplikacji natywnych w chmurze, stwierdzono podatność na obejście autoryzacji opartej na ścieżkach HTTP. Atakujący może użyć zakodowanych średników (%3B) do przemycenia parametrów macierzowych, a także zakodowanych ukośników (%2F) lub odwrotnych ukośników (%5C) do uzyskania dostępu do chronionych zasobów statycznych.

CVE-2026-49346
Wysokie

W bibliotece libde265 przed wersją 1.1.0 odkryto podatność polegającą na przepełnieniu liczby całkowitej ze znakiem w funkcji `de265_image_get_buffer()`. Specjalnie spreparowany strumień H.265 z dużymi wymiarami SPS i 16-bitową głębią kolorów powoduje, że alokacja pamięci dla płaszczyzny obrazu jest zawijana do małej wartości (~1 KB), podczas gdy późniejsze wywołanie `fill_image()` zapisuje do niej około 4 GB danych, co prowadzi do przepełnienia bufora sterty.

CVE-2026-49295
Wysokie

Podatność w bibliotece libde265 (implementacja kodeka H.265) przed wersją 1.0.20 umożliwia zapis poza zakresem tablicy podczas przetwarzania spreparowanego strumienia bitów H.265. Brakuje weryfikacji łącznej liczby przewidywanych wpisów zestawu obrazów referencyjnych krótkoterminowych, co może prowadzić do zapisu poza 16-elementową tablicą.

CVE-2026-47645
Wysokie

Podatność w Microsoft 365 Copilot Business Chat umożliwia nieautoryzowanemu atakującemu przekierowanie użytkownika na zewnętrzną, niezaufaną stronę (open redirect), co może prowadzić do eskalacji uprawnień w sieci.

CVE-2026-32208
Wysokie

Podatność typu Cross-Site Scripting (XSS) w Microsoft Entra ID umożliwia autoryzowanemu atakującemu przeprowadzenie ataku polegającego na fałszowaniu treści w sieci. Luka wynika z nieprawidłowej neutralizacji danych wejściowych podczas generowania stron internetowych.

CVE-2026-49344
Wysokie

Mercator to aplikacja webowa, która przed wersją 2025.05.19 miała lukę w silniku zapytań, umożliwiającą autoryzowanym użytkownikom, w tym rolom z ograniczonym dostępem, wykonywanie zapytań do modeli poza ich zakresem. Dodatkowo, kolumna `password`, mimo że oznaczona jako `$hidden`, mogła być używana w warunkach `LIKE` w filtrach.

PoprzedniaStrona 96 z 3355Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS