Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-40525
Krytyczne

OpenViking przed wersją 0.3.9 zawiera podatność na obejście uwierzytelniania w interfejsie OpenAPI VikingBot, gdzie sprawdzenie uwierzytelnienia nie działa poprawnie, gdy wartość konfiguracyjna api_key jest nieustawiona lub pusta. Zdalni atakujący mogą uzyskać dostęp do funkcji kontrolnych bota bez podawania ważnego nagłówka X-API-Key.

CVE-2026-6284
Krytyczne

Atakujący z dostępem do sieci PLC może przeprowadzić atak typu brute force, aby odkryć hasła i uzyskać nieautoryzowany dostęp do systemów i usług. Ograniczona złożoność haseł oraz brak limitów wprowadzania haseł umożliwiają enumerację haseł metodą brute force.

CVE-2026-37749
Krytyczne

W systemie zarządzania obecnością CodeAstro Simple Attendance Management System w wersji 1.0 występuje podatność na wstrzykiwanie SQL, która umożliwia zdalnym, nieautoryzowanym atakującym ominięcie uwierzytelnienia poprzez parametr nazwy użytkownika w pliku index.php.

CVE-2025-15625
Krytyczne

Nieautoryzowany użytkownik może w pewnych przypadkach wykonywać dowolne polecenia SQL w bazie danych Sparx Pro Cloud Server.

CVE-2026-6443
Krytyczne

Wszystkie wtyczki Essentialplugin dla WordPressa są podatne na wstrzyknięty backdoor w różnych wersjach. Wtyczki te zostały sprzedane złośliwemu podmiotowi, który osadził backdoor w nabytych wtyczkach.

CVE-2026-34018
Krytyczne

W CubeCart przed wersją 6.6.0 występuje podatność na wstrzykiwanie SQL, która może pozwolić atakującemu na wykonanie dowolnego zapytania SQL na produkcie.

CVE-2026-40322
Krytyczne

SiYuan to otwartoźródłowy system zarządzania wiedzą osobistą. W wersjach 3.6.3 i starszych, diagramy Mermaid są renderowane z ustawionym securityLevel na 'luźny', co pozwala na wstrzyknięcie kontrolowanego przez atakującego kodu JavaScript do renderowanego wyjścia.

CVE-2026-33122
Krytyczne

DataEase to otwartoźródłowa platforma do wizualizacji danych i analityki. W wersjach 2.10.20 i wcześniejszych występuje podatność na wstrzykiwanie SQL w procesie aktualizacji źródła danych API, co pozwala uwierzytelnionemu atakującemu na wstrzyknięcie dowolnych poleceń SQL.

CVE-2026-33082
Krytyczne

DataEase to narzędzie do analizy wizualizacji danych typu open source. W wersjach 2.10.20 i starszych występuje podatność na wstrzykiwanie SQL w funkcjonalności eksportu zestawów danych, która pozwala atakującemu na wstrzyknięcie dowolnych poleceń SQL.

CVE-2026-5426
Krytyczne

W systemach Digital Knowledge KnowledgeDeliver przed 24 lutego 2026 roku występuje twardo zakodowana wartość machineKey w ASP.NET/IIS, co pozwala atakującym na obejście mechanizmów walidacji ViewState i uzyskanie zdalnego wykonania kodu poprzez złośliwe ataki deserializacji ViewState.

CVE-2026-37347
Krytyczne

System Zarządzania Płacami i Informacjami SourceCodester w wersji 1.0 jest podatny na atak typu SQL Injection w pliku /payroll/view_employee.php.

CVE-2026-37345
Krytyczne

System zarządzania obszarem parkingowym SourceCodester w wersji 1.0 jest podatny na atak typu SQL Injection w pliku /parking/manage_park.php.

CVE-2026-37340
Krytyczne

System Simple Music Cloud Community w wersji 1.0 jest podatny na atak typu SQL Injection w pliku /music/edit_music.php. Atakujący może wykorzystać tę lukę do nieautoryzowanego dostępu do bazy danych.

CVE-2026-37339
Krytyczne

System Simple Music Cloud Community w wersji 1.0 jest podatny na atak typu SQL Injection w pliku /music/view_genre.php. Atakujący może wykorzystać tę lukę do nieautoryzowanego dostępu do bazy danych.

CVE-2026-37338
Krytyczne

System Simple Music Cloud Community w wersji 1.0 jest podatny na atak typu SQL Injection w pliku /music/view_user.php. Atakujący może wykorzystać tę podatność do nieautoryzowanego dostępu do bazy danych.

CVE-2026-6270
Krytyczne

Wersje @fastify/middie do 9.3.1 nie rejestrują dziedziczonych middleware bezpośrednio na instancjach silnika wtyczek podrzędnych. To pozwala na ominięcie kontroli uwierzytelniania i autoryzacji dla żądań kierowanych do tras zdefiniowanych w wtyczkach podrzędnych.

CVE-2026-31843
Krytyczne

Pakiet Laravel goodoneuz/pay-uz w wersjach do 2.2.24 zawiera krytyczną podatność w punkcie końcowym /payment/api/editable/update, która pozwala nieautoryzowanym atakującym na nadpisywanie istniejących plików PHP związanych z płatnościami. Punkt końcowy jest dostępny bez uwierzytelnienia, co umożliwia zdalny dostęp bez podawania danych logowania.

CVE-2026-3596
Krytyczne

Wtyczka Riaxe Product Customizer dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do 2.1.2 włącznie. Wtyczka rejestruje nieautoryzowaną akcję AJAX, która umożliwia atakującym aktualizację dowolnych opcji WordPressa bez weryfikacji nonce i kontroli uprawnień.

CVE-2026-6350
Krytyczne

MailGates/MailAudit opracowane przez Openfind ma podatność typu przepełnienie bufora na stosie, która pozwala nieautoryzowanym zdalnym atakującym na kontrolowanie przepływu wykonania programu oraz wykonywanie dowolnego kodu.

CVE-2026-6349
Krytyczne

iSherlock opracowany przez HGiga ma podatność na wstrzykiwanie poleceń systemowych, co pozwala nieautoryzowanym lokalnym atakującym na wstrzykiwanie dowolnych poleceń systemowych i ich wykonywanie na serwerze.

PoprzedniaStrona 107 z 562Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS