Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-34041
Krytyczne

Projekt act umożliwia lokalne uruchamianie akcji GitHub. W wersjach przed 0.2.86, act bezwarunkowo przetwarzał przestarzałe komendy ::set-env:: i ::add-path::, co stwarzało ryzyko wstrzykiwania danych do środowiska.

CVE-2026-32714
Krytyczne

SciTokens to biblioteka referencyjna do generowania i używania SciTokens. W wersjach przed 1.9.6 klasa KeyCache była podatna na atak SQL Injection z powodu użycia metody str.format() Pythona do konstruowania zapytań SQL z danymi dostarczonymi przez użytkownika.

CVE-2026-3300
Krytyczne

Wtyczka Everest Forms Pro dla WordPressa jest podatna na zdalne wykonanie kodu poprzez wstrzyknięcie kodu PHP we wszystkich wersjach do i włącznie z 1.9.12. Problem wynika z funkcji process_filter() dodatku Calculation, która łączy wartości pól formularza przesyłane przez użytkowników w ciąg kodu PHP bez odpowiedniego zabezpieczenia przed wstrzyknięciem.

CVE-2026-30880
Krytyczne

baserCMS to framework do tworzenia stron internetowych. Przed wersją 5.2.3 występowała podatność na wstrzyknięcie poleceń systemowych w instalatorze, która została załatana w wersji 5.2.3.

CVE-2026-30877
Krytyczne

baserCMS to framework do tworzenia stron internetowych. Przed wersją 5.2.3 występowała podatność na wstrzykiwanie poleceń systemowych w funkcji aktualizacji, która pozwalała uwierzytelnionemu użytkownikowi z uprawnieniami administratora na wykonywanie dowolnych poleceń systemowych na serwerze.

CVE-2026-27697
Krytyczne

baserCMS to framework do tworzenia stron internetowych. Przed wersją 5.2.3 występowała podatność na wstrzyknięcie SQL w postach blogowych, która została załatana w wersji 5.2.3.

CVE-2026-21861
Krytyczne

baserCMS to framework do tworzenia stron internetowych. Przed wersją 5.2.3, baserCMS zawierał podatność na wstrzykiwanie poleceń systemowych w funkcjonalności aktualizacji, co pozwalało uwierzytelnionemu administratorowi na wykonywanie dowolnych poleceń OS na serwerze.

CVE-2026-4257
Krytyczne

Wtyczka Contact Form by Supsystic dla WordPressa jest podatna na wstrzykiwanie szablonów po stronie serwera (SSTI), co prowadzi do zdalnego wykonania kodu (RCE) we wszystkich wersjach do i włącznie 1.7.36. Problem wynika z użycia silnika szablonów Twig `Twig_Loader_String` bez odpowiedniego zabezpieczenia oraz funkcji `cfsPreFill`, która pozwala nieautoryzowanym użytkownikom na wstrzykiwanie dowolnych wyrażeń Twig do wartości pól formularza za pomocą parametrów GET.

CVE-2026-4789
Krytyczne

Kyverno w wersjach 1.16.0 i nowszych jest podatny na atak SSRF z powodu nieograniczonych funkcji HTTP CEL.

CVE-2026-34558
Krytyczne

CVE-2026-34558 dotyczy aplikacji CI4MS, która przed wersją 0.31.0.0 nieprawidłowo sanitizuje dane wejściowe kontrolowane przez użytkownika w funkcjonalności zarządzania metodami. Wiele pól wejściowych akceptuje złośliwe ładunki JavaScript, które są przechowywane na serwerze bez sanitizacji, co prowadzi do ataków typu Stored DOM-Based Cross-Site Scripting (XSS).

CVE-2026-34557
Krytyczne

CVE-2026-34557 dotyczy aplikacji CI4MS, która przed wersją 0.31.0.0 nieprawidłowo sanitizuje dane wejściowe kontrolowane przez użytkownika w funkcjonalności zarządzania grupami i rolami. W wyniku tego, złośliwe ładunki JavaScript mogą być wstrzykiwane i przechowywane na serwerze, a następnie niebezpiecznie renderowane w widokach administracyjnych.

CVE-2026-31946
Krytyczne

OpenOlat to otwartoźródłowa platforma e-learningowa, która w wersjach od 10.5.4 do przed 20.2.5 nie weryfikowała podpisów JWT w implementacji przepływu OpenID Connect. Metoda JSONWebToken.parse() ignoruje segment podpisu JWT, co prowadzi do braku weryfikacji podpisu kryptograficznego.

CVE-2026-30313
Krytyczne

Moduł automatycznej akceptacji poleceń DSAI-Cline zawiera krytyczną podatność na wstrzyknięcie poleceń systemowych, która całkowicie unieważnia mechanizm bezpieczeństwa oparty na białej liście. System nieprawidłowo przetwarza znaki nowej linii, co pozwala atakującemu na wstrzyknięcie złośliwego kodu.

CVE-2026-30308
Krytyczne

HAI Build Code Generator ma dwie opcje automatycznego wykonywania poleceń: wykonywanie bezpiecznych poleceń oraz wykonywanie wszystkich poleceń. System jest podatny na ataki typu prompt injection, co pozwala atakującemu na obejście wymogu zatwierdzenia przez użytkownika i wykonanie dowolnych poleceń.

CVE-2026-30306
Krytyczne

SakaDev w swoim projekcie automatycznego wykonywania poleceń terminalowych oferuje dwie opcje: wykonywanie bezpiecznych poleceń oraz wykonywanie wszystkich poleceń. System jest podatny na ataki typu prompt injection, co pozwala atakującemu na obejście wymogu zatwierdzenia przez użytkownika i wykonanie dowolnych poleceń.

CVE-2026-33026
Krytyczne

Nginx UI to interfejs webowy dla serwera Nginx. Przed wersją 2.3.4 mechanizm przywracania kopii zapasowych umożliwiał atakującym manipulację zaszyfrowanymi archiwami kopii zapasowych oraz wstrzykiwanie złośliwej konfiguracji podczas przywracania.

CVE-2026-32275
Krytyczne

Tautulli to narzędzie do monitorowania i śledzenia dla Plex Media Server, oparte na Pythonie. W wersjach od 1.3.10 do przed 2.17.0, niesanitizowany parametr callback JSONP umożliwia wstrzykiwanie skryptów z innych źródeł oraz kradzież kluczy API. Problem został naprawiony w wersji 2.17.0.

CVE-2026-30307
Krytyczne

Moduł automatycznej akceptacji poleceń w Roo Code zawiera krytyczną podatność na wstrzykiwanie poleceń systemowych, co czyni mechanizm białej listy całkowicie nieskutecznym. System opiera się na kruchych wyrażeniach regularnych do analizy struktur poleceń, co prowadzi do błędnej identyfikacji niebezpiecznych operacji.

CVE-2026-30305
Krytyczne

Moduł automatycznej akceptacji poleceń Syntx zawiera krytyczną podatność na wstrzykiwanie poleceń systemowych, co czyni mechanizm białej listy całkowicie nieskutecznym. System opiera się na delikatnych wyrażeniach regularnych do analizy struktur poleceń, co prowadzi do błędnej identyfikacji niebezpiecznych operacji.

CVE-2026-28505
Krytyczne

Tautulli to narzędzie do monitorowania i śledzenia dla Plex Media Server, które przed wersją 2.17.0 miało lukę w funkcji str_eval() w pliku notification_handler.py. Luka ta polegała na niewłaściwej inspekcji nazw wywołań w zagnieżdżonych obiektach kodu, co mogło prowadzić do nieautoryzowanego wykonania kodu.

PoprzedniaStrona 126 z 562Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS