Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
W systemach HashiCorp Vault i Vault Enterprise przed wersją 2.0.1, logika walidacji urządzeń audytu nie stosowała konsekwentnie ochrony katalogów wtyczek, gdy używano starszej opcji ścieżki pliku audytu. Luka ta została załatana w wersjach 2.0.1, 1.21.6, 1.20.11 oraz 1.19.17.
W rozszerzeniu Cargo dla MediaWiki wykryto podatność na iniekcję SQL spowodowaną niewłaściwym neutralizowaniem specjalnych elementów w poleceniach SQL. Luka umożliwia atakującemu wstrzyknięcie złośliwego kodu SQL, co może prowadzić do nieautoryzowanego dostępu do bazy danych.
Podatność polegająca na przekierowaniu URL do niezaufanej witryny (open redirect) w rozszerzeniu UrlShortener dla MediaWiki umożliwia ataki Cross-Site Flashing. Problem dotyczy wersji przed 1.43.9, 1.44.6 i 1.45.4.
Wtyczka Shortcodes and extra features dla motywu Phlox zawiera podatność na ataki XSS oparte na DOM. Luka wynika z niewłaściwego neutralizowania danych wejściowych podczas generowania stron internetowych.
Wtyczka Enable Media Replace dla WordPressa zawiera podatność na trwałe ataki XSS (Cross-Site Scripting) spowodowaną niewłaściwą neutralizacją danych wejściowych podczas generowania stron. Problem dotyczy wersji od n/a do 4.2.1 włącznie.
Podatność SQL Injection w GoAdminGroup GoAdmin (ostatnie wydanie v1.2.26) umożliwia zdalnemu atakującemu wykonanie dowolnego kodu i uzyskanie wrażliwych informacji poprzez parametr URL __sort_type na wszystkich endpointach /admin/info/{table}.
Podatność CVE-2026-49090 w Elasticsearch umożliwia atak typu odmowa usługi (DoS) poprzez niekontrolowane zużycie zasobów. Uwierzytelniony użytkownik może wysłać spreparowane żądanie zbiorcze (bulk request), które powoduje długotrwałe wysokie obciążenie procesora, uniemożliwiając węzłowi przetwarzanie innych zapytań.
Wtyczka ApplyOnline dla WordPressa zawiera lukę braku autoryzacji, która umożliwia wykorzystanie nieprawidłowo skonfigurowanych poziomów bezpieczeństwa kontroli dostępu. Luka dotyczy wersji od n/a do 2.6.7.6.
Wtyczka ThumbPress dla WordPressa zawiera lukę braku autoryzacji, która umożliwia wykorzystanie nieprawidłowo skonfigurowanych poziomów bezpieczeństwa kontroli dostępu. Podatność dotyczy wszystkich wersji od n/a do 6.3.2 włącznie.
Podatność CVE-2026-56152 w Elastic Defend wynika z nieprawidłowej autoryzacji (CWE-863). Umożliwia ona niskouprzywilejowanemu, uwierzytelnionemu użytkownikowi dostęp do danych akcji odpowiedzi, do których nie ma uprawnień, co prowadzi do nieautoryzowanego ujawnienia informacji.
Podatność CVE-2026-56151 w Kibanie wynika z nieprawidłowej walidacji danych wejściowych (CWE-20). Uwierzytelniony użytkownik może przesłać specjalnie spreparowane dane wejściowe polityki Fleet, co prowadzi do odmowy usługi (DoS) poprzez manipulację danymi wejściowymi (CAPEC-153). Atak ten uniemożliwia działanie zarządzania agentami Fleet, serwerem oraz politykami.
Podatność CWE-770 w Fleet Server umożliwia atakującemu wysłanie specjalnie spreparowanego żądania do punktu końcowego przesyłania plików, co prowadzi do nadmiernego zużycia pamięci i może spowodować odmowę usługi (DoS).
Podatność CWE-770 w Elasticsearch umożliwia atak DoS poprzez nadmierną alokację pamięci. Użytkownik z podwyższonymi uprawnieniami może wysłać spreparowane żądanie uczenia maszynowego, co prowadzi do wyczerpania zasobów i niedostępności węzła.
Podatność CVE-2026-56148 w Elasticsearch umożliwia niekontrolowaną rekurencję, co prowadzi do odmowy usługi. Uwierzytelniony użytkownik może wysłać specjalnie spreparowane zapytanie, które powoduje nadmierne zużycie zasobów podczas przetwarzania, potencjalnie uniemożliwiając działanie dotkniętego węzła.
Podatność CVE-2026-49088 w Kibanie umożliwia wstawianie wrażliwych informacji do plików dziennika. Gdy opcjonalne monitorowanie wydajności aplikacji (APM) jest włączone, wrażliwe wartości nagłówków żądań mogą być rejestrowane w logach aplikacji.
Podatność CWE-770 w Kibanie umożliwia atak DoS poprzez nadmierną alokację zasobów. Uwierzytelniony użytkownik może wysłać spreparowane żądanie masowego usunięcia, powodując wyczerpanie zasobów i niedostępność Kibany.
Podatność w systemie językowym Guardian polega na braku sanityzacji parametru GET 'id' przed wstawieniem go do kodu HTML i atrybutów akcji formularza w pliku media.php (linie 119, 129). Uwierzytelniony atakujący może stworzyć URL, który wstrzykuje znaczniki skryptów wykonujące się w sesji przeglądarki ofiary.
Podatność w systemie językowym Guardian polega na braku sanityzacji parametru GET 'id' przed wstawieniem go do atrybutów akcji formularzy HTML w pliku text_file.php. Uwierzytelniony atakujący może stworzyć URL, który wstrzykuje skrypty wykonywane w sesji przeglądarki ofiary.
Podatność XSS w systemie językowym Guardian polega na braku sanityzacji parametru GET 'name' przed wyświetleniem go w atrybucie wartości pola HTML w pliku designer.php (linia 57). Uwierzytelniony atakujący może stworzyć URL zawierający znaczniki skryptów, które wykonają się w sesji przeglądarki ofiary.
Wtyczka Webba Booking dla WordPressa zawiera lukę braku autoryzacji, która umożliwia wykorzystanie nieprawidłowo skonfigurowanych poziomów bezpieczeństwa kontroli dostępu. Luka dotyczy wersji od n/a do 6.4.13 włącznie.

