Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-5051
Średnie

W systemach HashiCorp Vault i Vault Enterprise przed wersją 2.0.1, logika walidacji urządzeń audytu nie stosowała konsekwentnie ochrony katalogów wtyczek, gdy używano starszej opcji ścieżki pliku audytu. Luka ta została załatana w wersjach 2.0.1, 1.21.6, 1.20.11 oraz 1.19.17.

CVE-2026-58521
Średnie

W rozszerzeniu Cargo dla MediaWiki wykryto podatność na iniekcję SQL spowodowaną niewłaściwym neutralizowaniem specjalnych elementów w poleceniach SQL. Luka umożliwia atakującemu wstrzyknięcie złośliwego kodu SQL, co może prowadzić do nieautoryzowanego dostępu do bazy danych.

CVE-2026-58520
Średnie

Podatność polegająca na przekierowaniu URL do niezaufanej witryny (open redirect) w rozszerzeniu UrlShortener dla MediaWiki umożliwia ataki Cross-Site Flashing. Problem dotyczy wersji przed 1.43.9, 1.44.6 i 1.45.4.

CVE-2026-57737
Średnie

Wtyczka Shortcodes and extra features dla motywu Phlox zawiera podatność na ataki XSS oparte na DOM. Luka wynika z niewłaściwego neutralizowania danych wejściowych podczas generowania stron internetowych.

CVE-2026-57722
Średnie

Wtyczka Enable Media Replace dla WordPressa zawiera podatność na trwałe ataki XSS (Cross-Site Scripting) spowodowaną niewłaściwą neutralizacją danych wejściowych podczas generowania stron. Problem dotyczy wersji od n/a do 4.2.1 włącznie.

CVE-2026-51946
Średnie

Podatność SQL Injection w GoAdminGroup GoAdmin (ostatnie wydanie v1.2.26) umożliwia zdalnemu atakującemu wykonanie dowolnego kodu i uzyskanie wrażliwych informacji poprzez parametr URL __sort_type na wszystkich endpointach /admin/info/{table}.

CVE-2026-49090
Średnie

Podatność CVE-2026-49090 w Elasticsearch umożliwia atak typu odmowa usługi (DoS) poprzez niekontrolowane zużycie zasobów. Uwierzytelniony użytkownik może wysłać spreparowane żądanie zbiorcze (bulk request), które powoduje długotrwałe wysokie obciążenie procesora, uniemożliwiając węzłowi przetwarzanie innych zapytań.

CVE-2026-57721
Średnie

Wtyczka ApplyOnline dla WordPressa zawiera lukę braku autoryzacji, która umożliwia wykorzystanie nieprawidłowo skonfigurowanych poziomów bezpieczeństwa kontroli dostępu. Luka dotyczy wersji od n/a do 2.6.7.6.

CVE-2026-57720
Średnie

Wtyczka ThumbPress dla WordPressa zawiera lukę braku autoryzacji, która umożliwia wykorzystanie nieprawidłowo skonfigurowanych poziomów bezpieczeństwa kontroli dostępu. Podatność dotyczy wszystkich wersji od n/a do 6.3.2 włącznie.

CVE-2026-56152
Średnie

Podatność CVE-2026-56152 w Elastic Defend wynika z nieprawidłowej autoryzacji (CWE-863). Umożliwia ona niskouprzywilejowanemu, uwierzytelnionemu użytkownikowi dostęp do danych akcji odpowiedzi, do których nie ma uprawnień, co prowadzi do nieautoryzowanego ujawnienia informacji.

CVE-2026-56151
Średnie

Podatność CVE-2026-56151 w Kibanie wynika z nieprawidłowej walidacji danych wejściowych (CWE-20). Uwierzytelniony użytkownik może przesłać specjalnie spreparowane dane wejściowe polityki Fleet, co prowadzi do odmowy usługi (DoS) poprzez manipulację danymi wejściowymi (CAPEC-153). Atak ten uniemożliwia działanie zarządzania agentami Fleet, serwerem oraz politykami.

CVE-2026-56150
Średnie

Podatność CWE-770 w Fleet Server umożliwia atakującemu wysłanie specjalnie spreparowanego żądania do punktu końcowego przesyłania plików, co prowadzi do nadmiernego zużycia pamięci i może spowodować odmowę usługi (DoS).

CVE-2026-56149
Średnie

Podatność CWE-770 w Elasticsearch umożliwia atak DoS poprzez nadmierną alokację pamięci. Użytkownik z podwyższonymi uprawnieniami może wysłać spreparowane żądanie uczenia maszynowego, co prowadzi do wyczerpania zasobów i niedostępności węzła.

CVE-2026-56148
Średnie

Podatność CVE-2026-56148 w Elasticsearch umożliwia niekontrolowaną rekurencję, co prowadzi do odmowy usługi. Uwierzytelniony użytkownik może wysłać specjalnie spreparowane zapytanie, które powoduje nadmierne zużycie zasobów podczas przetwarzania, potencjalnie uniemożliwiając działanie dotkniętego węzła.

CVE-2026-49088
Średnie

Podatność CVE-2026-49088 w Kibanie umożliwia wstawianie wrażliwych informacji do plików dziennika. Gdy opcjonalne monitorowanie wydajności aplikacji (APM) jest włączone, wrażliwe wartości nagłówków żądań mogą być rejestrowane w logach aplikacji.

CVE-2026-49087
Średnie

Podatność CWE-770 w Kibanie umożliwia atak DoS poprzez nadmierną alokację zasobów. Uwierzytelniony użytkownik może wysłać spreparowane żądanie masowego usunięcia, powodując wyczerpanie zasobów i niedostępność Kibany.

CVE-2026-34098
Średnie

Podatność w systemie językowym Guardian polega na braku sanityzacji parametru GET 'id' przed wstawieniem go do kodu HTML i atrybutów akcji formularza w pliku media.php (linie 119, 129). Uwierzytelniony atakujący może stworzyć URL, który wstrzykuje znaczniki skryptów wykonujące się w sesji przeglądarki ofiary.

CVE-2026-34097
Średnie

Podatność w systemie językowym Guardian polega na braku sanityzacji parametru GET 'id' przed wstawieniem go do atrybutów akcji formularzy HTML w pliku text_file.php. Uwierzytelniony atakujący może stworzyć URL, który wstrzykuje skrypty wykonywane w sesji przeglądarki ofiary.

CVE-2026-34096
Średnie

Podatność XSS w systemie językowym Guardian polega na braku sanityzacji parametru GET 'name' przed wyświetleniem go w atrybucie wartości pola HTML w pliku designer.php (linia 57). Uwierzytelniony atakujący może stworzyć URL zawierający znaczniki skryptów, które wykonają się w sesji przeglądarki ofiary.

CVE-2026-27409
Średnie

Wtyczka Webba Booking dla WordPressa zawiera lukę braku autoryzacji, która umożliwia wykorzystanie nieprawidłowo skonfigurowanych poziomów bezpieczeństwa kontroli dostępu. Luka dotyczy wersji od n/a do 6.4.13 włącznie.

PoprzedniaStrona 11 z 485Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS