Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2016-20083
Średnie

Wtyczka WordPress More Fields w wersji 2.1 zawiera podatność na atak typu cross-site request forgery (CSRF), która umożliwia atakującym wykonywanie nieautoryzowanych działań poprzez wyłączenie walidacji tokenów CSRF.

CVE-2016-20082
Średnie

Wtyczka WordPress Abtest zawiera podatność na lokalne włączenie pliku, która pozwala nieautoryzowanym atakującym na dołączenie dowolnych plików poprzez manipulację parametrem akcji. Atakujący mogą wysyłać żądania GET do abtest_admin.php z złośliwymi wartościami akcji, aby dołączyć pliki z katalogu administracyjnego i wykonać dowolny kod.

CVE-2016-20080
Średnie

Wtyczka Brandfolder dla WordPressa w wersji 3.0 i wcześniejszych zawiera podatność na lokalne włączenie pliku w pliku callback.php, co pozwala nieautoryzowanym atakującym na włączenie dowolnych plików poprzez manipulację parametrem wp_abspath.

CVE-2016-20079
ŚrednieEPSS 51%

WordPress Dharma Booking w wersji 2.28.3 i wcześniejszych zawiera podatność na lokalne włączenie plików, która pozwala nieautoryzowanym atakującym na włączenie dowolnych plików poprzez manipulację parametrem gateway. Atakujący mogą dostarczyć ścieżki plików z sekwencjami przechodzenia przez katalogi lub wstrzyknięciem bajtu null do parametru gateway w pliku proccess.php, aby odczytać wrażliwe pliki, takie jak pliki konfiguracyjne i systemowe.

CVE-2016-20078
Średnie

Wtyczka WordPress IMDb Profile Widget w wersji 1.0.8 zawiera podatność na lokalne włączenie pliku, która pozwala nieautoryzowanym atakującym na odczyt dowolnych plików poprzez manipulację parametrem url. Atakujący mogą wykorzystać sekwencje przejścia katalogu w żądaniach GET do pic.php, aby uzyskać dostęp do wrażliwych plików, takich jak wp-config.php, zawierających dane uwierzytelniające do bazy danych oraz dane konfiguracyjne.

CVE-2016-20077
Średnie

Wtyczka WordPress Photocart Link w wersji 1.6 zawiera podatność na lokalne włączenie pliku, która pozwala nieautoryzowanym atakującym na odczyt dowolnych plików poprzez wykorzystanie niewystarczającej walidacji danych wejściowych w pliku decode.php.

CVE-2016-20074
Średnie

Wtyczka WordPress Lazy Content Slider w wersji 3.4 zawiera podatność na atak typu cross-site request forgery (CSRF), która umożliwia atakującym wykonywanie nieautoryzowanych działań poprzez tworzenie złośliwych formularzy HTML.

CVE-2016-20070
Średnie

Wtyczka WordPress Booking Calendar Contact Form w wersji 1.0.23 zawiera luki związane z eskalacją uprawnień oraz przechowywanym skryptowaniem międzywitrynowym (XSS), które pozwalają uwierzytelnionym użytkownikom na modyfikację opcji wtyczki oraz wstrzykiwanie złośliwych skryptów.

CVE-2016-20067
Średnie

WordPress CP Polls w wersji 1.0.8 zawiera podatność na atak typu cross-site request forgery, która pozwala atakującym na wykonywanie nieautoryzowanych działań w imieniu uwierzytelnionych użytkowników. Atakujący mogą stworzyć złośliwe strony HTML, które wykonują niepożądane operacje na ankietach, gdy administratorzy odwiedzają tę stronę będąc zalogowanymi.

CVE-2026-34030
Średnie

Oprogramowanie Wertheim SafeController w wersji 6.15.8328.28014 nieprawidłowo waliduje kod oddziału podczas jego tworzenia. Umożliwia to atakującemu z odpowiednimi uprawnieniami wprowadzenie sekwencji przejścia ścieżki, co może prowadzić do niezamierzonego przechowywania plików.

CVE-2026-34029
Średnie

Oprogramowanie Wertheim SafeController w wersji AssemblyVersion 6.15.8328.28014 zawiera twardo zakodowany klucz kryptograficzny w komponencie SafeSystem.Infrastructure.Security.dll. Atakujący z dostępem do plików aplikacji może przeprowadzić inżynierię wsteczną DLL i odzyskać ten klucz.

CVE-2026-34028
Średnie

Oprogramowanie Wertheim SafeController w wersji AssemblyVersion 6.15.8328.28014 ujawnia ścieżki plików dostępne przez sieć, które nie są chronione przez mechanizm autoryzacji. Nieautoryzowany atakujący może bezpośrednio uzyskać dostęp do punktów końcowych HTTP, aby pobrać pliki z lokalizacji takich jak /Resources/CompanyId_[ID]/Audio/ oraz /SafeData/.

CVE-2026-34027
Średnie

Oprogramowanie Wertheim SafeController w wersji 6.15.8328.28014 zawiera niewystarczającą walidację typu pliku po stronie serwera w punkcie końcowym /safe/contract/uploadcustomdocuments. Aplikacja akceptuje przesyłane pliki na podstawie wartości HTTP Content-Type kontrolowanej przez użytkownika, co pozwala na przesyłanie dowolnych treści plików przez uwierzytelnionego atakującego.

CVE-2026-34025
Średnie

Oprogramowanie Wertheim SafeController w wersji 6.15.8328.28014 zawiera lukę umożliwiającą obejście ograniczeń IP w procesie logowania. Atakujący z ważnymi danymi logowania użytkownika może manipulować nagłówkiem X-Forwarded-For, aby sfałszować adres IP oddziału i uzyskać dostęp do sesji autoryzowanej z nieautoryzowanej lokalizacji sieciowej.

CVE-2026-44188
Średnie

W Ansible Lightspeed znaleziono lukę związaną z niewystarczającym wygasaniem sesji, co pozwala zdalnemu atakującemu na utrzymanie trwałego dostępu do instancji Ansible Lightspeed. Atakujący, który wykradnie ważny token dostępu OAuth przed wylogowaniem użytkownika, może kontynuować autoryzację i uzyskiwać dostęp do wrażliwych danych.

CVE-2026-9278
Średnie

Wtyczka Form Builder CP dla WordPressa przed wersją 1.2.47 nieprawidłowo sanitizuje wartość konfiguracji formularza przed jej zapisaniem, co umożliwia ataki typu Stored Cross-Site Scripting przez uwierzytelnionych użytkowników z dostępem na poziomie Edytora i wyżej.

CVE-2026-8386
Średnie

Wtyczka WP Go Maps dla WordPressa przed wersją 10.0.10 nie filtruje stanu zatwierdzenia na publicznym punkcie końcowym REST dla pojedynczych znaczników, co pozwala nieautoryzowanym użytkownikom na dostęp do rekordów znaczników, które nie zostały jeszcze zatwierdzone przez administratora.

CVE-2026-8385
Średnie

Wtyczka WP Go Maps dla WordPressa przed wersją 10.0.10 nie egzekwuje poprawnie filtru zatwierdzania znaczników w administracyjnym zapytaniu AJAX dla trasy datatables, co pozwala nieautoryzowanym odwiedzającym na dostęp do rekordów znaczników, które właściciel strony nie zatwierdził do publicznego wyświetlania.

CVE-2026-12223
ŚrednieEPSS 64%

W telefonie Yealink SIP-T46U w wersji 108.86.0.118 wykryto podatność na wstrzykiwanie poleceń w funkcji mod_webd.TFTPUploadIperf pliku /api/inner/tftpuploadiperf. Atak wymaga dostępu do sieci lokalnej i może zostać przeprowadzony poprzez manipulację argumentami ip/port. Producent udostępnił poprawkę w wersji 108.87.0.23, która nie jest jeszcze publicznie dostępna.

CVE-2026-12219
ŚrednieEPSS 60%

W oprogramowaniu telefonu Yealink SIP-T46U w wersji 108.86.0.118 wykryto podatność na wstrzykiwanie poleceń. Problem występuje w funkcji mod_diagnose.CommandShellByType w pliku /api/diagnosis/start komponentu Web FastCGI Service, gdzie argument Time jest podatny na manipulację. Atak może być przeprowadzony zdalnie, a exploit został opublikowany.

PoprzedniaStrona 103 z 514Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS