Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-6277
Średnie

GitLab naprawił problem w GitLab EE, który dotyczy wszystkich wersji od 13.9 przed 18.10.8, 18.11 przed 18.11.5 oraz 19.0 przed 19.0.2. W określonych warunkach, uwierzytelniony użytkownik z uprawnieniami roli Menedżera Bezpieczeństwa mógł zarządzać konfiguracją bezpieczeństwa projektu, nawet gdy odpowiednia funkcja była wyłączona, z powodu nieprawidłowego egzekwowania autoryzacji.

CVE-2026-6269
Średnie

GitLab naprawił problem w GitLab CE/EE, który dotyczył wszystkich wersji od 15.10 przed 18.10.8, 18.11 przed 18.11.5 oraz 19.0 przed 19.0.2. W określonych warunkach uwierzytelniony użytkownik z uprawnieniami dewelopera mógł zmodyfikować ukryte prośby o scalanie z powodu nieprawidłowego egzekwowania autoryzacji.

CVE-2026-53912
Średnie

Cerebrate przed wersją 1.37 ujawnia dane uwierzytelniające z żądań samodzielnej rejestracji. Hasła użytkowników są przechowywane w danych wiadomości i mogą być zwracane w odpowiedziach API, co stwarza ryzyko ich ujawnienia.

CVE-2026-53423
Średnie

Podatność w membraneframework membrane_mp4_plugin pozwala na nieautoryzowane wywołanie ataku typu denial-of-service poprzez wyczerpanie tabeli atomów BEAM. Parser nagłówka MP4 nie weryfikuje nazw boxów, co prowadzi do permanentnej alokacji atomów.

CVE-2026-1500
Średnie

GitLab naprawił problem w GitLab CE/EE, który dotyczy wszystkich wersji od 17.10 przed 18.10.8, 18.11 przed 18.11.5 oraz 19.0 przed 19.0.2. W określonych warunkach uwierzytelniony użytkownik mógł spowodować odmowę usługi z powodu niekontrolowanego zużycia zasobów podczas przetwarzania specjalnie przygotowanego przesyłania pliku.

CVE-2026-10733
Średnie

GitLab naprawił problem w GitLab CE/EE, który dotyczył wszystkich wersji od 17.0 przed 18.10.8, 18.11 przed 18.11.5 oraz 19.0 przed 19.0.2. Problem ten mógł pozwolić uwierzytelnionemu użytkownikowi na spowodowanie odmowy usługi na stronie katalogu CI/CD z powodu niewłaściwego oczyszczania danych.

CVE-2023-32959
Średnie

W MetroStore występuje luka związana z brakiem autoryzacji, która pozwala na wykorzystanie nieprawidłowo skonfigurowanych poziomów kontroli dostępu.

CVE-2023-25969
Średnie

W podatności CVE-2023-25969 występuje brak autoryzacji w wtyczce ThemeHunk Contact Form & Lead Form Elementor Builder, co pozwala na wykorzystanie nieprawidłowo skonfigurowanych poziomów kontroli dostępu.

CVE-2022-47150
Średnie

Podatność CSRF w weDevs WooCommerce Conversion Tracking umożliwia atak typu Cross-Site Request Forgery. Dotyczy to wersji od n/a do 2.0.10.

CVE-2022-45813
Średnie

Podatność CVE-2022-45813 dotyczy wtyczki BeRocket Advanced AJAX Product Filters, która ma brak autoryzacji, co pozwala na wykorzystanie niepoprawnie skonfigurowanych poziomów kontroli dostępu.

CVE-2026-53911
Średnie

Cerebrate przed wersją 1.37 pozwalał na przesyłanie pola klucza głównego 'id' przez dane wejściowe podczas operacji edycji CRUD oraz w niektórych procesach patchowania niestandardowych encji. Umożliwiało to uwierzytelnionemu atakującemu złośliwe modyfikowanie rekordów, co prowadziło do aktualizacji niepowiązanych rekordów.

CVE-2026-11850
Średnie

Wykryto podatność na niedobór całkowity w funkcji berval2tl_data() w MIT krb5, która może prowadzić do odczytu danych poza przydzielonym obszarem pamięci. Problem występuje, gdy długość bufora (bv_len) wynosi 0 lub 1, co powoduje nieprawidłowe obliczenia i odczyt do 65534 bajtów z bufora o długości 0-1 bajtów.

CVE-2025-7064
Średnie

Podatność CVE-2025-7064 dotyczy systemu ABB Freelance i pozwala na ominięcie uwierzytelniania z powodu głównej słabości. Dotyczy wersji Freelance od 2013 do 2024.

CVE-2022-44630
Średnie

Podatność CSRF w YITH WooCommerce Product Slider Carousel umożliwia atak Cross Site Request Forgery. Dotyczy to wersji od n/a do 1.16.0.

CVE-2022-42479
Średnie

W TemplateHouse Soledad występuje luka związana z brakiem autoryzacji, która pozwala na dostęp do funkcji, które nie są odpowiednio ograniczone przez listy kontroli dostępu (ACL). Problem ten dotyczy wersji Soledad od n/a do 8.2.5.

CVE-2024-32110
Średnie

W podatności CVE-2024-32110 występuje luka typu Cross-Site Request Forgery (CSRF) w WpEvently firmy Magepeople inc., która umożliwia przeprowadzenie ataku CSRF.

CVE-2023-40200
Średnie

Podatność CVE-2023-40200 dotyczy wtyczki WP Logo Showcase Responsive Slider and Carousel, która pozwala na obejście autoryzacji poprzez wykorzystanie klucza kontrolowanego przez użytkownika. Problem ten występuje w wersjach od n/a do 3.6.

CVE-2026-41001
Średnie

Spring Boot wykorzystuje stałą, statyczną ścieżkę dla katalogu danych wbudowanego brokera wiadomości Artemis, gdy nie skonfigurowano jawnej ścieżki. Lokalny atakujący może stworzyć przewidywalny katalog lub umieścić dowiązanie symboliczne przed uruchomieniem aplikacji.

CVE-2026-40997
Średnie

W kilku ścieżkach integracji Spring WS z Spring Security mogą być ujawniane szczegółowe informacje o stanie konta, takie jak zablokowane lub wyłączone konta, poprzez komunikaty o błędach lub wyniki wywołań zwrotnych. To zachowanie ułatwia zdalnym atakującym rozróżnianie ważnych kont od nieważnych.

CVE-2026-40996
Średnie

Wss4jSecurityInterceptor domyślnie ustawił allowRSA15KeyTransportAlgorithm na true, co narusza bezpieczniejsze domyślne ustawienia Apache WSS4J dla walidacji RequestData. W związku z tym, przychodzące odszyfrowanie WS-Security mogło zaakceptować materiał klucza zaszyfrowany RSA PKCS#1 v1.5, chyba że operatorzy wyraźnie zmienili to ustawienie.

PoprzedniaStrona 126 z 549Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS