Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-49495
Średnie

Ghidra w wersji 10.2 przed 12.1 zawiera podatność na niekontrolowane zużycie zasobów w funkcji ExportTrie.parseTrie(). Brak detekcji cykli podczas przetwarzania binarnych plików Mach-O prowadzi do nieograniczonego wzrostu kolejki i wykładniczej konkatenacji łańcuchów.

CVE-2026-11853
Średnie

Debusine to zintegrowane rozwiązanie do budowy, dystrybucji i utrzymania dystrybucji opartej na Debianie. Parser używany do odczytu plików manifestu akceptował dowolne, w pełni kontrolowane przez użytkownika ścieżki, co mogło prowadzić do tworzenia dowolnych linków symbolicznych na serwerze roboczym.

CVE-2026-11852
Średnie

Debusine to zintegrowane rozwiązanie do budowy, dystrybucji i utrzymania dystrybucji opartej na Debianie. Punkty końcowe, które tworzą i usuwają relacje między artefaktami, nie wprowadzają żadnych kontroli uprawnień poza możliwością zobaczenia odpowiednich artefaktów.

CVE-2026-9019
Średnie

Wtyczka Easy Image Collage dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez parametry 'grid[properties][borderColor]' oraz 'grid[images][N][attachment_url]' w wersjach do 1.13.6 włącznie, z powodu niewystarczającej sanitizacji danych wejściowych i ucieczki danych wyjściowych.

CVE-2026-8853
Średnie

Wtyczka MW WP Form dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez parametr 'memo' w wersjach do 5.1.3 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie edytora i wyżej wstrzykiwanie dowolnych skryptów webowych na stronach, które będą wykonywane przy każdym dostępie użytkownika do zainfekowanej strony.

CVE-2026-8613
Średnie

Wtyczka aThemes Addons dla Elementora w WordPressie jest podatna na przechowywane ataki Cross-Site Scripting poprzez ustawienie 'title_tag' Widgetu w wersjach do 1.1.8 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie współtwórcy i wyżej wstrzykiwanie dowolnych skryptów webowych na stronach.

CVE-2026-29115
Średnie

W niektórych produktach Dahua odkryto podatność, która może pozwolić uwierzytelnionemu zdalnemu atakującemu na wysłanie specjalnie przygotowanego pakietu, co prowadzi do nieoczekiwanego restartu systemu i w rezultacie do odmowy usługi.

CVE-2026-11815
ŚrednieEPSS 61%

Atakujący, który przechwyci i zmodyfikuje ruch między aplikacją kliencką a serwerem API Gateway, może potencjalnie deserializować dowolne obiekty. Ta podatność może prowadzić do naruszenia oczekiwań bezpieczeństwa lub zdalnego wykonania kodu.

CVE-2025-8444
Średnie

Wtyczka Animation Addons dla Elementor, zasilana przez GSAP, jest podatna na ataki typu DOM-Based Stored Cross-Site Scripting w wersjach do 2.6.7 włącznie. Problem wynika z niewystarczającej sanitizacji danych wejściowych oraz ucieczki danych wyjściowych, co pozwala na wstrzykiwanie dowolnych skryptów webowych przez uwierzytelnionych atakujących z dostępem na poziomie Contributor i wyżej.

CVE-2026-24720
Średnie

Zgłoszono podatność w File Station 6, polegającą na przydzielaniu zasobów bez ograniczeń lub throttlingu. Zdalny atakujący, posiadając konto użytkownika, może wykorzystać tę podatność, aby uniemożliwić innym systemom, aplikacjom lub procesom dostęp do tych samych zasobów.

CVE-2026-24717
Średnie

W systemach QNAP wykryto podatność typu path traversal. Zdalny atakujący z kontem administratora może odczytać nieoczekiwane pliki lub dane systemowe.

CVE-2026-22899
Średnie

Zgłoszono podatność na dereferencję wskaźnika NULL, która dotyczy File Station 6. Zdalny atakujący, posiadając konto użytkownika, może wykorzystać tę podatność do przeprowadzenia ataku typu denial-of-service (DoS).

CVE-2025-62851
Średnie

Zgłoszono podatność typu przejście ścieżki, która wpływa na License Center. Lokalny atakujący z kontem administratora może wykorzystać tę podatność do odczytu zawartości nieoczekiwanych plików lub danych systemowych.

CVE-2025-58468
Średnie

Zgłoszono podatność typu cross-site request forgery (CSRF) w Notification Center, która pozwala zdalnym atakującym na uzyskanie uprawnień lub przejęcie tożsamości użytkowników.

CVE-2026-46532
Średnie

W frameworku Espressif Internet of Things (IOT) występuje błąd odczytu poza zakresem w parserze poleceń vendor-command BlueDroid AVRCP. Problem ten dotyczy wersji 5.2.6, 5.3.5, 5.4.4, 5.5.3 oraz 6.0 i został naprawiony w wersjach 5.2.7, 5.3.6, 5.4.5, 5.5.4 oraz 6.0.1.

CVE-2026-45160
Średnie

W frameworku ESP-IDF występuje luka w wersjach 5.2.7, 5.3.5, 5.4.4, 5.5.4 i 6.0.1, związana z błędnym odczytem poza granicami w parserze opcji serwera DHCP. Luka ta pozwala na odczytanie pamięci sąsiedniej, co może prowadzić do nieautoryzowanego dostępu do danych.

CVE-2026-53675
Średnie

BuddyPress w wersji 14.4.0 zawiera podatność na niebezpieczne bezpośrednie odniesienie do obiektu w API REST dla znajomych, co pozwala uwierzytelnionym atakującym na enumerację pełnej listy znajomych innego użytkownika.

CVE-2026-47838
Średnie

Podatność w komponencie SubjectDnX509PrincipalExtractor frameworku Spring Security pozwala na nieprawidłowe przetwarzanie uszkodzonych wartości CN w certyfikatach X.509. Może to prowadzić do odczytania błędnej nazwy użytkownika i w konsekwencji do podszycia się pod innego użytkownika.

CVE-2026-46543
Średnie

Nimiq to implementacja protokołu Proof-of-Stake w języku Rust. W wersjach przed 1.5.0, zdalny peer może spowodować awarię dowolnego pełnego węzła, wysyłając wiadomość RequestBatchSet zawierającą hash bloku genesis.

CVE-2026-46542
Średnie

W wersjach przed 1.4.0 Nimiq występuje podatność na atak typu denial-of-service w kodzie delinearyzacji multisig Ed25519. Problem polega na tym, że metoda Ed25519PublicKey::delinearize() wywołuje .unwrap() na dekompresji punktu krzywej, co prowadzi do paniki, gdy klucz publiczny nie jest poprawny.

PoprzedniaStrona 119 z 524Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS