Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-3297
Średnie

Wtyczka Page Builder: Pagelayer dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez blok Anchor w wersjach do 2.0.9 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia.

CVE-2026-2470
Średnie

Wtyczka Pagelayer do WordPressa jest podatna na błędną autoryzację we wszystkich wersjach do 2.0.9. Umożliwia to atakującym z poziomem dostępu Contributor i wyżej konfigurowanie dowolnych szablonów formularzy kontaktowych, które mogą być używane przez nieautoryzowane przesyłanie formularzy.

CVE-2026-9134
Średnie

Wtyczka FooGallery dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez parametr shortcode 'custom_attribute_key' w wersjach do 3.1.31 włącznie. Problem wynika z niekompletnej czarnej listy atrybutów zdarzeń JavaScript w funkcji foogallery_sanitize_javascript().

CVE-2026-54231
Średnie

W skryptach obsługi zdarzeń po utworzeniu raportu w bibliotece libreport wykryto podatność na wstrzykiwanie treści. Skrypt odczytuje dziennik systemd w poszukiwaniu wpisów pasujących do procesu, który uległ awarii, i zapisuje wyniki do plików w katalogu zrzutu bez oczyszczania osadzonych znaków sterujących. Lokalny użytkownik może wstrzyknąć dowolną treść do wyjścia dziennika, osadzając znaki nowej linii w komunikatach syslog, kontrolując w ten sposób treść, którą root zapisuje do plików w katalogu zrzutu.

CVE-2026-12089
Średnie

Wtyczka LWS Optimize – All-in-One Speed Booster & Cache Tools dla WordPressa jest podatna na nieautoryzowane odczyty plików w wersjach do 3.3.19 włącznie. Problem wynika z funkcji combine_current_css(), która nieprawidłowo przetwarza wartości <link rel="stylesheet" href="...">, co pozwala na odczyt dowolnych plików.

CVE-2026-11443
Średnie

Podatność w Allegra umożliwia zdalnym atakującym wykonanie dowolnego skryptu na zainfekowanych instalacjach poprzez metodę downloadAttachment. Wymagana jest interakcja użytkownika, aby wykorzystać tę podatność, co oznacza, że ofiara musi odwiedzić złośliwą stronę lub otworzyć złośliwy plik.

CVE-2026-11442
ŚrednieEPSS 66%

Podatność w Allegra dotycząca metody exportReport umożliwia atakującym zdalne ujawnienie wrażliwych informacji. Wymagana jest autoryzacja, aby wykorzystać tę podatność.

CVE-2026-54398
Średnie

W MISP występuje luka autoryzacji w obsłudze dodawania/edycji obiektów, która pozwala uwierzytelnionemu użytkownikowi z uprawnieniami do edycji obiektów przypisać obiekt MISP lub jego atrybuty do grupy udostępniania, do której nie ma uprawnień. Walidacja grupy udostępniania jest wykonywana na niewłaściwej strukturze danych, co umożliwia obejście tego sprawdzenia.

CVE-2026-53867
Średnie

Capgo w wersjach przed 12.128.2 nie usuwa wcześniej przesłanych obrazów profilu z pamięci zapasowej, gdy użytkownicy je zastępują lub usuwają. Atakujący mogą uzyskać dostęp do osieroconych plików obrazów za pomocą wcześniej wygenerowanych adresów URL.

CVE-2026-53839
Średnie

OpenClaw w wersjach przed 2026.5.7 zawiera podatność na walidację nazw hostów w punktach końcowych retry, co pozwala na dopasowywanie prefiksów nazw hostów zamiast dokładnych nazw. Atakujący mogą wykorzystać tę lukę, tworząc prefiks nazwy hosta przypominający zaufany host, aby wysłać materiały uwierzytelniające do niezaufanych punktów końcowych.

CVE-2026-53835
Średnie

OpenClaw przed wersją 2026.5.6 zawiera lukę w wymuszaniu konfiguracji w powiązaniach dynamicznych agentów Feishu, która pozwala uwierzytelnionym nadawcom na tworzenie lub aktualizowanie powiązań bez przestrzegania skonfigurowanych kontroli zapisu konfiguracji.

CVE-2026-53830
Średnie

OpenClaw przed wersją 2026.4.22 zawiera lukę umożliwiającą obejście unieważnienia sekretu webhooka, co pozwala na aktywność starych sekretów webhooka Slack i Zalo po wywołaniu secrets.reload. Atakujący mogą wykorzystać ten czas, aby dostarczać zdarzenia webhooka po oczekiwanym unieważnieniu sekretu przez operatora.

CVE-2026-53827
Średnie

OpenClaw w wersjach przed 2026.5.2 zawiera podatność na ujawnienie poświadczeń w przekazywaniu message.action, co pozwala na przesyłanie ładunków akcji z poświadczeniami bramy do dostarczonych przez atakującego adresów URL pętli zwrotnej. Atakujący zdalnie mogą przechwytywać tokeny bramy i ładunki akcji, dostarczając złośliwe cele pętli zwrotnej przez metadane akcji kontrolowane przez model.

CVE-2026-53826
Średnie

OpenClaw w wersjach przed 2026.4.26 zawiera podatność na ujawnienie informacji w procesie uruchamiania sesji w piaskownicy, co pozwala na ujawnienie rzeczywistej ścieżki roboczej do podprocesów. Atakujący mogą wykorzystać tę podatność, uruchamiając sesje podrzędne z rodziców w piaskownicy, aby ujawnić lokalizację hosta lub związany kontekst pamięci.

CVE-2026-53825
Średnie

OpenClaw przed wersją 2026.4.7 zawiera podatność na odczyt dowolnych plików w funkcji wczytywania pamięci wiki, która pozwala uwierzytelnionym operatorom bramy z zakresem operator.write na odczyt lokalnych plików poza zamierzonymi źródłami wczytywania. Atakujący z dostępem operator.write mogą określać dowolne lokalne ścieżki plików do importu treści plików do pamięci wiki, omijając ograniczenia dostępu.

CVE-2026-53824
Średnie

OpenClaw przed wersją 2026.4.24 zawiera podatność na unieważnienie tokenów, która pozwala na kontynuowanie wykonywania poleceń przez użytkowników z unieważnionymi tokenami slash podczas okien odświeżania monitora. Atakujący mogą wykorzystać akceptację przestarzałych tokenów do wywołania zachowania poleceń slash krótko po unieważnieniu tokena.

CVE-2026-53820
Średnie

OpenClaw przed wersją 2026.5.12 zawiera lukę umożliwiającą obejście listy zakazów wykonywania w ścieżce sesji MCP loopback, co pozwala uwierzytelnionym użytkownikom na ominięcie zamierzonych ograniczeń poleceń.

CVE-2026-53523
Średnie

Nezha Monitoring w wersjach od 1.0.0 do przed 2.2.0 ma lukę w funkcji getRedirectURL, która tworzy URL zwrotny OAuth2 bez walidacji nagłówka Host. Może to prowadzić do wstrzyknięcia nagłówka hosta.

CVE-2026-53522
Średnie

Nezha Monitoring w wersjach od 1.0.0 do przed 2.2.0 ma lukę, która pozwala na tworzenie długoterminowych strumieni WebSocket bez ograniczeń. Dwa punkty końcowe, POST /api/v1/terminal i POST /api/v1/file, nie mają limitów użytkowników ani połączeń serwerowych.

CVE-2026-53521
Średnie

Nezha Monitoring w wersjach od 2.0.14 do przed 2.1.0 pozwala na akceptację i przechowywanie nieistniejących identyfikatorów ddns_profiles dla serwera należącego do użytkownika. W przypadku, gdy inny użytkownik utworzy profil DDNS z jednym z tych identyfikatorów, może to prowadzić do wykorzystania konfiguracji profilu DDNS innego użytkownika w kontekście serwera napastnika.

PoprzedniaStrona 105 z 514Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS