Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-12620
Średnie

Serwer czasu GNSS GridTime 3000 ujawnia token dostępu w parametrach URL niektórych endpointów. Podatność dotyczy wersji od 1.0r0.03 do 1.1r0.0.

CVE-2026-12619
Średnie

W produkcie Microchip GridTime 3000 wykryto podatność na ataki XSS spowodowaną niewłaściwą neutralizacją danych wejściowych podczas generowania stron WWW. Luka umożliwia atakującemu wstrzyknięcie złośliwego skryptu do przeglądarki ofiary.

CVE-2026-21768
Średnie

Biblioteka compose-rich-editor (v1.0.0-rc14) używana w HCL Verse dla Androida nieprawidłowo waliduje wszystkie dane wejściowe HTML, co może prowadzić do wykonania złośliwej treści w określonych sytuacjach.

CVE-2026-49231
Średnie

Podatność CVE-2026-49231 dotyczy obejścia uwierzytelniania poprzez fałszowanie wtyczki opa. Atakujący może przesyłać sfałszowane nagłówki tożsamości do usługi upstream, co może pozwolić mu na przyjęcie wyższych uprawnień.

CVE-2026-48141
Średnie

W NI grpc-device w wersji 2.17.0 i wcześniejszych występuje wyciek pamięci w funkcji BeginSidebandStream, co może prowadzić do odmowy usługi z powodu wyczerpania pamięci.

CVE-2026-48140
Średnie

W NI grpc-device w wersji 2.17.0 i wcześniejszych występuje podatność związana z niezweryfikowanym rzutowaniem enum w funkcji BeginSidebandStream. Może to pozwolić atakującemu na wywołanie nieprawidłowych stanów enum i nieokreślonego zachowania, co potencjalnie prowadzi do odmowy usługi.

CVE-2026-47341
Średnie

W Apache APISIX występuje podatność na obejście uwierzytelnienia poprzez atak typu capture-replay. Atakujący może wykorzystać określone konfiguracje w hmac-auth, aby na stałe używać tokena, omijając jego datę ważności.

CVE-2026-44915
Średnie

Podatność typu 'Open Redirect' w Apache APISIX umożliwia przekierowanie użytkowników na niezaufane strony, co może prowadzić do phishingu i kradzieży danych uwierzytelniających. Dotyczy to wersji od 3.0.0 do 3.16.0.

CVE-2026-44046
Średnie

Podatność w Apache APISIX związana z użyciem mniej zaufanego źródła umożliwia atakującym wykorzystanie wtyczki wolf-rbac w domyślnej konfiguracji, co może prowadzić do zafałszowania logów oraz naruszenia zasad kontroli dostępu opartej na adresach IP.

CVE-2026-12706
Średnie

W FFmpeg zidentyfikowano podatność typu use-after-free w dekoderze wideo RASC. Funkcja decode_move() inicjalizuje wskaźnik odczytu w zdekompresowanym buforze, ale późniejsza reallocacja tego samego bufora podczas przetwarzania tabeli ruchu pozostawia wskaźnik nieaktualny.

CVE-2026-11941
Średnie

Cloudflare Quiche jest podatny na dwie luki typu use-after-free w funkcjach iteratora identyfikatora połączenia FFI. Funkcje te zwracają wskaźnik do 'ConnectionId', który jest tracony na końcu zakresu tych funkcji.

CVE-2026-8296
Średnie

W dotkniętych wersjach Octopus Server z określonymi poziomami dostępu istniała możliwość osadzenia ładunku Cross-Site Scripting za pomocą artefaktów.

CVE-2026-56138
Średnie

Framework AIL zawiera podatność na traversję ścieżki w punkcie końcowym /objects/item/diff. Umożliwia to uwierzytelnionemu użytkownikowi AIL stworzenie złośliwych identyfikatorów przedmiotów, które mogą prowadzić do nieautoryzowanego ujawnienia lokalnych plików.

CVE-2026-6798
Średnie

Wtyczka 2Download Connector dla 2DL Hosted Checkout w WordPressie jest podatna na nieautoryzowany dostęp we wszystkich wersjach do 0.1.5 włącznie. Problem wynika z braku odpowiedniej weryfikacji uprawnień użytkowników, co umożliwia nieautoryzowanym atakującym przeglądanie danych subskrypcyjnych klientów.

CVE-2026-3640
Średnie

Wtyczka STRABL – rozwiązanie do realizacji zamówień dla WordPressa jest podatna na brak uwierzytelnienia we wszystkich wersjach do 4.5 włącznie. Wtyczka rejestruje punkt końcowy webhooka REST API, który pozwala na przyjmowanie wszystkich przychodzących żądań bez jakichkolwiek kontroli uwierzytelnienia.

CVE-2026-9822
Średnie

Wtyczka WP Hotel Booking dla WordPressa w wersjach przed 2.3.1 nie wymusza sprawdzania uprawnień w kilku swoich handlerach AJAX, co pozwala uwierzytelnionym użytkownikom z poziomem dostępu Subskrybenta na przeglądanie rezerwacji innych użytkowników, enumerowanie aktywnych kuponów oraz odczytywanie danych cenowych.

CVE-2026-9013
Średnie

Wtyczka Bogo dla WordPressa jest podatna na ujawnienie wrażliwych informacji we wszystkich wersjach do 3.9.1 włącznie. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie subskrybenta i wyżej wydobycie surowego tytułu, treści, fragmentu oraz hasła dowolnego prywatnego, roboczego lub chronionego hasłem wpisu.

CVE-2026-8118
Średnie

Wtyczka Royal Addons for Elementor dla WordPressa jest podatna na nieautoryzowany odczyt plików w wersjach od 1.7.1058 do 1.7.1059. Problem wynika z funkcji wpr_get_csv_handle(), która nie sprawdza poprawności adresu URL i pozwala atakującym na odczyt zawartości dowolnego pliku, który jest dostępny dla procesu PHP.

CVE-2026-7547
Średnie

Wtyczka Woosa – Marktplaats dla WooCommerce w WordPressie jest podatna na odczyt dowolnych plików poprzez przejście ścieżki w wersjach do 2.0.4 włącznie. Problem wynika z niewystarczającej sanitizacji ścieżek w funkcji render_logs_ui(), która przyjmuje nazwę pliku zakodowaną w base64 i łączy ją bezpośrednio z katalogiem logów wtyczki.

CVE-2026-56132
Średnie

W libexpat przed wersją 2.8.2 występuje przepełnienie bufora na stercie w funkcji doProlog w pliku xmlparse.c. Problem ten wynika z niewłaściwego zarządzania reallocacją tablicy pomocniczej, gdy struktury danych są współdzielone pomiędzy parserami.

PoprzedniaStrona 98 z 553Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS