Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-12216
Średnie

Zidentyfikowano słabość w svaarala duktape do wersji 2.99.99, która dotyczy nieznanego przetwarzania pliku duk_api_bytecode.c. Manipulacja argumentem count_instr może prowadzić do uszkodzenia pamięci.

CVE-2026-12213
Średnie

Wykryto podatność w platformie Huly firmy hcengineering do wersji 0.7.0. Dotyczy ona funkcji getAccountInfo w pliku server/account/src/operations.ts komponentu User Information Handler, co prowadzi do niewłaściwej autoryzacji.

CVE-2026-12212
Średnie

Wykryto podatność w platformie Huly firmy hcengineering do wersji 0.7.0. Problem dotyczy funkcji getMailboxSecret w pliku server/account/src/operations.ts komponentu interfejsu RPC, co prowadzi do niewłaściwych kontroli dostępu.

CVE-2026-12210
Średnie

Wykryto podatność w bibliotece universal-tool-calling-protocol python-utcp w wersji 1.1.0, która dotyczy nieznanej funkcji komponentu utcp-gql/utcp-websocket. Manipulacja tą funkcją prowadzi do ataku typu server-side request forgery.

CVE-2026-12209
Średnie

Wykryto podatność w RubyLouvre avalon do wersji 2.2.10, która dotyczy nieznanej funkcji w pliku src/filters/index.js komponentu Template Filter Handler. Manipulacja ta prowadzi do nieprawidłowej kontroli modyfikacji atrybutów prototypu obiektu.

CVE-2026-12208
Średnie

Zidentyfikowano słabość w jsonata-js jsonata do wersji 2.2.0, dotyczącą funkcji createFrame w pliku src/jsonata.js. Manipulacja ta prowadzi do nieprawidłowej kontroli modyfikacji atrybutów prototypu obiektu.

CVE-2026-12207
Średnie

W komponencie HTTP REST API oprogramowania medkey-org medkey (do wersji fc09b7ba9441ff590b72d428d5380834216b09ed) wykryto lukę bezpieczeństwa w funkcji actionGetPatientById w pliku PatientController.php. Manipulacja argumentem ID prowadzi do nieprawidłowej kontroli identyfikatorów zasobów, co umożliwia zdalny atak. Exploit został opublikowany i może być wykorzystywany w atakach.

CVE-2026-12206
Średnie

Zidentyfikowano podatność w Grit42 Grit do wersji 0.11.0, która dotyczy funkcji Grit::Assays::DataTableEntity w pliku modules/assays/backend/app/models/grit/assays/data_table_entity.rb. Manipulacja prowadzi do wstrzykiwania SQL.

CVE-2026-12203
Średnie

Wykryto podatność w HKUDS AI-Trader, która dotyczy nieznanej części pliku /api/research/agents.csv w komponencie Research Export. Manipulacja tym plikiem prowadzi do ujawnienia informacji, a atak zdalny jest możliwy.

CVE-2026-12201
Średnie

W IObit Malware Fighter do wersji 13.2.0 znaleziono lukę w nieznanej funkcjonalności komponentu DLL Handler, która powoduje problemy z uprawnieniami. Atak wymaga lokalnego dostępu.

CVE-2026-12190
Średnie

W aplikacji Genspark AI Workspace w wersji 2.8.4 na system Android odkryto podatność, która dotyczy nieznanego kodu komponentu ai.mainfunc.genspark. Manipulacja prowadzi do niewłaściwej autoryzacji w obsłudze niestandardowego schematu URL.

CVE-2026-12189
Średnie

W aplikacji Moovit Bus & Public Transit w wersji 1.18 na Androida znaleziono lukę, która dotyczy nieznanej części komponentu com.tranzmate. Manipulacja może prowadzić do niewłaściwej autoryzacji w obsłudze niestandardowego schematu URL.

CVE-2026-12188
Średnie

Wykryto podatność w Grit42 Grit do wersji 0.11.0, która dotyczy nieznanej funkcjonalności w pliku modules/core/backend/app/controllers/concerns/grit/core/grit_entity_controller.rb komponentu GritEntityController. Manipulacja tą funkcjonalnością prowadzi do wstrzyknięcia SQL.

CVE-2026-54411
Średnie

Linux-PAM w wersji do 1.7.2 zawiera podatność w module pam_userdb, która umożliwia atakującemu lokalnemu lub sąsiadującemu w sieci odzyskanie hasła w postaci jawnej poprzez pomiar różnic czasowych odpowiedzi podczas procesu uwierzytelniania. Problem wynika z porównania haseł w postaci jawnej, które ujawnia długość hasła oraz poszczególne bajty prefiksu.

CVE-2025-15546
Średnie

Wtyczka Iptanus File Upload dla WordPress przed wersją 5.1.7 nie implementuje prawidłowego zarządzania plikami, gdy ustawienie duplicatepolicy jest skonfigurowane na "zachowaj oba". Z powodu warunku wyścigu TOCTOU między sprawdzeniem istnienia pliku a faktyczną operacją zapisu, uwierzytelniony atakujący może nadpisać pliki przesłane przez innych użytkowników.

CVE-2026-54421
Średnie

W OpenStack Ironic przed wersją 37.0.1, podczas stosowania PATCH do aktualizacji pól w właściwościach woluminu, do których użytkownik ma uprawnienia, Ironic może zwrócić nieprzetworzone informacje wrażliwe, takie jak dane uwierzytelniające iSCSI.

CVE-2026-12176
Średnie

W systemie oceniania automatycznego CET z analityką predykcyjną AI 1.0 odkryto podatność. Manipulacja argumentem 'action' w pliku /index.php prowadzi do ataku typu cross-site scripting (XSS).

CVE-2026-12175
Średnie

W systemie zarządzania frekwencją uczniów CodeAstro w wersji 1.0 zidentyfikowano podatność, która umożliwia wstrzyknięcie SQL poprzez manipulację argumentem admissionNumber w pliku /attendance-php/Admin/createStudents.php.

CVE-2026-1291
Średnie

Wtyczka Meow Gallery dla WordPressa jest podatna na nieautoryzowaną modyfikację danych z powodu braku sprawdzenia uprawnień na końcówce REST API /wp-json/meow-gallery/v1/save_shortcode we wszystkich wersjach do 5.4.4 włącznie. Umożliwia to atakującym z poziomem dostępu Author i wyżej dowolne tworzenie lub nadpisywanie istniejących rekordów shortcode galerii.

CVE-2026-9629
Średnie

Wtyczka Canvas dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez parametr 'tag' we wszystkich wersjach do 2.5.2 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia.

PoprzedniaStrona 104 z 514Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS