Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-14162
Krytyczne

Podatność w systemie Hospital Queuing Management firmy Advantech umożliwia nieuwierzytelnionym zdalnym atakującym dostęp do dokumentacji API poprzez określony URL, co prowadzi do ujawnienia wrażliwych danych.

CVE-2026-13766
Krytyczne

DBIx::QuickORM w wersjach przed 0.000026 dla Perla zawiera podatność na wstrzykiwanie SQL przez niecytowane identyfikatory SQL. Domyślny konstruktor SQL::Abstract nie ustawia quote_char, przez co identyfikatory są przekazywane w surowej postaci do zapytania SQL.

CVE-2026-9711
Krytyczne

Wtyczka EventON dla WordPressa do wersji 5.0.11 zawiera podatność na wstrzykiwanie SQL przez parametr 'search'. Brak odpowiedniego escapowania i przygotowania zapytań SQL umożliwia nieuwierzytelnionym atakującym dołączanie dodatkowych zapytań, co pozwala na wyodrębnienie poufnych danych z bazy, jeśli włączona jest opcja 'Enable additional search queries' i istnieje co najmniej jedno opublikowane wydarzenie.

CVE-2026-12076
Krytyczne

Raytha CMS zawiera podatność na wstrzykiwanie SQL w mechanizmie parsowania filtrów OData. Umożliwia ona zdalnemu, nieuwierzytelnionemu atakującemu wykonanie dowolnych zapytań SQL na bazie PostgreSQL, co prowadzi do pełnego przejęcia bazy danych, w tym wyodrębnienia danych uwierzytelniających.

CVE-2026-12819
Krytyczne

Sterownik PLC Delta Electronics DVP12SE udostępnia usługę Modbus TCP bez wymaganego uwierzytelniania ani kontroli dostępu, co pozwala nieuwierzytelnionym atakującym na interakcję z wrażliwymi funkcjami bezpieczeństwa sterownika.

CVE-2026-12818
Krytyczne

Sterowniki PLC Delta Electronics DVP12SE są podatne na atak polegający na nieograniczonej alokacji zasobów w usłudze Modbus TCP. Brak limitów lub mechanizmów ograniczających może prowadzić do wyczerpania zasobów systemowych.

CVE-2026-12073
Krytyczne

Wtyczka ProfileGrid dla WordPressa do wersji 5.9.9.5 włącznie zawiera podatność umożliwiającą eskalację uprawnień poprzez przejęcie konta. Brak walidacji parametru `user_login` w formularzach rejestracyjnych oraz nieprawidłowa obsługa komunikatów błędów pozwalają nieuwierzytelnionemu atakującemu na zmianę adresu e-mail konta o ID=1 (zazwyczaj administratora), a następnie zresetowanie hasła i przejęcie dostępu.

CVE-2026-55276
Krytyczne

Podatność w Apache Tomcat powoduje, że specjalne role i puste ograniczenia autoryzacji nie są uwzględniane podczas logowania efektywnego pliku web.xml. Problem dotyczy wersji od 11.0.0-M1 do 11.0.22, od 10.1.0-M1 do 10.1.55, od 9.0.0.M1 do 9.0.118 oraz od 8.5.0 do 8.5.100.

CVE-2026-53434
Krytyczne

W Apache Tomcat wykryto podatność polegającą na braku reakcji na błąd podczas konfigurowania list CRL dla konektora opartego na FFM. Problem dotyczy wersji od 11.0.0-M1 do 11.0.22, od 10.1.0-M7 do 10.1.55 oraz od 9.0.83 do 9.0.118.

CVE-2026-57498
Krytyczne

Coolify przed wersją 4.0.0-beta.474 zawiera podatność polegającą na braku walidacji własności serwera w komponentach Livewire. Komponenty te akceptują parametry server_id i destination_uuid z zapytań URL bez sprawdzania przynależności do zespołu, co umożliwia wdrożenie zasobów na serwerach innych zespołów.

CVE-2026-39868
Krytyczne

Podatność w systemach Apple umożliwia aplikacji spowodowanie nieoczekiwanego zakończenia działania systemu lub uszkodzenia pamięci jądra. Problem został rozwiązany poprzez poprawioną walidację danych wejściowych.

CVE-2026-37637
Krytyczne

Podatność w Alexantr filemanager v.1.0 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu poprzez komponent filemanager.php. Problem wynika z braku odpowiedniego zabezpieczenia przed wstrzykiwaniem kodu.

CVE-2026-13763
Krytyczne

Niespójna interpretacja żądań HTTP/2 w AWS Application Load Balancer z włączonym AWS WAF może umożliwić zdalnym atakującym ominięcie inspekcji treści reguł zarządzanych AWS WAF poprzez spreparowane żądania HTTP/2, które fragmentują treść żądania między ramkami, co powoduje inspekcję tylko częściowej treści. Problem dotyczy tylko grup docelowych ALB dla HTTP/2.

CVE-2026-13762
Krytyczne

Niespójna interpretacja żądań HTTP/2 w Amazon CloudFront z włączoną usługą AWS WAF może umożliwić zdalnym atakującym ominięcie inspekcji treści zarządzanych reguł AWS WAF poprzez wysyłanie spreparowanych żądań HTTP/2, które fragmentują treść żądania między ramkami, tak że inspekcja obejmuje tylko jej część.

CVE-2026-56782
Krytyczne

Podatność w systemie Gorse przed wersją 0.5.10 umożliwia ominięcie uwierzytelniania w endpointach /api/dump i /api/restore. Atakujący bez uwierzytelnienia może wyeksfiltrować całą bazę danych zawierającą dane osobowe użytkowników lub całkowicie nadpisać zbiór danych.

CVE-2026-11720
Krytyczne

W narzędziu HTTP tool URL builder biblioteki googleapis/mcp-toolbox wykryto podatność na path traversal. Podczas konstruowania zapytań API, atakujący może dostarczyć parametry ścieżki zawierające sekwencje przejścia do katalogu nadrzędnego (../), co pozwala na ominięcie ograniczeń ścieżki i dostęp do nieautoryzowanych zasobów na tym samym hoście docelowym.

CVE-2026-57331
Krytyczne

Podatność w skrypcie Performer Arbitrary File Deletion w Paid Videochat Turnkey Site w wersjach do 7.4.8 umożliwia usunięcie dowolnego pliku na serwerze. Atakujący może wykorzystać tę lukę do usunięcia krytycznych plików systemowych lub aplikacji.

CVE-2026-49048
Krytyczne

Rozszerzenie JoomCCK dla Joomla udostępnia zadanie kontrolera front-end, które tworzy dwa zapytania SQL poprzez bezpośrednie konkatenowanie parametru żądania dostarczonego przez użytkownika do ciągu zapytania bez odpowiedniego escapowania lub parametryzacji.

CVE-2026-58053
Krytyczne

Podatność w Gitea act_runner z backendem Docker (do wersji act 0.262.0) pozwala na ominięcie ograniczeń trybu uprzywilejowanego. Poprzez przekazanie parametrów kontenera, takich jak --pid=host, --cap-add i --security-opt, użytkownik może uzyskać dostęp do przestrzeni nazw hosta i eskalować uprawnienia do roota.

CVE-2026-12415
Krytyczne

Wtyczka Invoice Generator dla WordPressa do wersji 1.0.0 włącznie zawiera lukę umożliwiającą eskalację uprawnień. Brak weryfikacji uprawnień w akcji AJAX pravel_invoice_edit_account() pozwala nieuwierzytelnionym atakującym na zmianę adresu e-mail dowolnego użytkownika, w tym administratora, a następnie wykorzystanie mechanizmu resetowania hasła do przejęcia konta.

PoprzedniaStrona 10 z 553Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS