Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
Serwer czasu GNSS GridTime 3000 ujawnia token dostępu w parametrach URL niektórych endpointów. Podatność dotyczy wersji od 1.0r0.03 do 1.1r0.0.
W produkcie Microchip GridTime 3000 wykryto podatność na ataki XSS spowodowaną niewłaściwą neutralizacją danych wejściowych podczas generowania stron WWW. Luka umożliwia atakującemu wstrzyknięcie złośliwego skryptu do przeglądarki ofiary.
Biblioteka compose-rich-editor (v1.0.0-rc14) używana w HCL Verse dla Androida nieprawidłowo waliduje wszystkie dane wejściowe HTML, co może prowadzić do wykonania złośliwej treści w określonych sytuacjach.
Podatność CVE-2026-49231 dotyczy obejścia uwierzytelniania poprzez fałszowanie wtyczki opa. Atakujący może przesyłać sfałszowane nagłówki tożsamości do usługi upstream, co może pozwolić mu na przyjęcie wyższych uprawnień.
W NI grpc-device w wersji 2.17.0 i wcześniejszych występuje wyciek pamięci w funkcji BeginSidebandStream, co może prowadzić do odmowy usługi z powodu wyczerpania pamięci.
W NI grpc-device w wersji 2.17.0 i wcześniejszych występuje podatność związana z niezweryfikowanym rzutowaniem enum w funkcji BeginSidebandStream. Może to pozwolić atakującemu na wywołanie nieprawidłowych stanów enum i nieokreślonego zachowania, co potencjalnie prowadzi do odmowy usługi.
W Apache APISIX występuje podatność na obejście uwierzytelnienia poprzez atak typu capture-replay. Atakujący może wykorzystać określone konfiguracje w hmac-auth, aby na stałe używać tokena, omijając jego datę ważności.
Podatność typu 'Open Redirect' w Apache APISIX umożliwia przekierowanie użytkowników na niezaufane strony, co może prowadzić do phishingu i kradzieży danych uwierzytelniających. Dotyczy to wersji od 3.0.0 do 3.16.0.
Podatność w Apache APISIX związana z użyciem mniej zaufanego źródła umożliwia atakującym wykorzystanie wtyczki wolf-rbac w domyślnej konfiguracji, co może prowadzić do zafałszowania logów oraz naruszenia zasad kontroli dostępu opartej na adresach IP.
W FFmpeg zidentyfikowano podatność typu use-after-free w dekoderze wideo RASC. Funkcja decode_move() inicjalizuje wskaźnik odczytu w zdekompresowanym buforze, ale późniejsza reallocacja tego samego bufora podczas przetwarzania tabeli ruchu pozostawia wskaźnik nieaktualny.
Cloudflare Quiche jest podatny na dwie luki typu use-after-free w funkcjach iteratora identyfikatora połączenia FFI. Funkcje te zwracają wskaźnik do 'ConnectionId', który jest tracony na końcu zakresu tych funkcji.
W dotkniętych wersjach Octopus Server z określonymi poziomami dostępu istniała możliwość osadzenia ładunku Cross-Site Scripting za pomocą artefaktów.
Framework AIL zawiera podatność na traversję ścieżki w punkcie końcowym /objects/item/diff. Umożliwia to uwierzytelnionemu użytkownikowi AIL stworzenie złośliwych identyfikatorów przedmiotów, które mogą prowadzić do nieautoryzowanego ujawnienia lokalnych plików.
Wtyczka 2Download Connector dla 2DL Hosted Checkout w WordPressie jest podatna na nieautoryzowany dostęp we wszystkich wersjach do 0.1.5 włącznie. Problem wynika z braku odpowiedniej weryfikacji uprawnień użytkowników, co umożliwia nieautoryzowanym atakującym przeglądanie danych subskrypcyjnych klientów.
Wtyczka STRABL – rozwiązanie do realizacji zamówień dla WordPressa jest podatna na brak uwierzytelnienia we wszystkich wersjach do 4.5 włącznie. Wtyczka rejestruje punkt końcowy webhooka REST API, który pozwala na przyjmowanie wszystkich przychodzących żądań bez jakichkolwiek kontroli uwierzytelnienia.
Wtyczka WP Hotel Booking dla WordPressa w wersjach przed 2.3.1 nie wymusza sprawdzania uprawnień w kilku swoich handlerach AJAX, co pozwala uwierzytelnionym użytkownikom z poziomem dostępu Subskrybenta na przeglądanie rezerwacji innych użytkowników, enumerowanie aktywnych kuponów oraz odczytywanie danych cenowych.
Wtyczka Bogo dla WordPressa jest podatna na ujawnienie wrażliwych informacji we wszystkich wersjach do 3.9.1 włącznie. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie subskrybenta i wyżej wydobycie surowego tytułu, treści, fragmentu oraz hasła dowolnego prywatnego, roboczego lub chronionego hasłem wpisu.
Wtyczka Royal Addons for Elementor dla WordPressa jest podatna na nieautoryzowany odczyt plików w wersjach od 1.7.1058 do 1.7.1059. Problem wynika z funkcji wpr_get_csv_handle(), która nie sprawdza poprawności adresu URL i pozwala atakującym na odczyt zawartości dowolnego pliku, który jest dostępny dla procesu PHP.
Wtyczka Woosa – Marktplaats dla WooCommerce w WordPressie jest podatna na odczyt dowolnych plików poprzez przejście ścieżki w wersjach do 2.0.4 włącznie. Problem wynika z niewystarczającej sanitizacji ścieżek w funkcji render_logs_ui(), która przyjmuje nazwę pliku zakodowaną w base64 i łączy ją bezpośrednio z katalogiem logów wtyczki.
W libexpat przed wersją 2.8.2 występuje przepełnienie bufora na stercie w funkcji doProlog w pliku xmlparse.c. Problem ten wynika z niewłaściwego zarządzania reallocacją tablicy pomocniczej, gdy struktury danych są współdzielone pomiędzy parserami.

