Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-53742
Średnie

Simple Link Directory w wersji 9.0.4 nieprawidłowo przetwarza atrybuty shortcode, co prowadzi do ich odzwierciedlenia w atrybutach danych HTML bez odpowiedniego zabezpieczenia. Atakujący z dostępem do konta współtwórcy mogą stworzyć atrybut shortcode, który wstrzykuje handler zdarzeń wykonujący się w przeglądarce użytkownika.

CVE-2026-53741
Średnie

Simple Link Directory w wersji 9.0.4 interpoluje opcję sld_no_results_found do literału ciągu JavaScript bez kodowania. Z powodu tego, że sanitize_text_field pozostawia cudzysłowy nietknięte, przechowywany ładunek może wydostać się z ciągu i uruchomić skrypt dla każdego odwiedzającego stronę.

CVE-2026-53740
Średnie

Wtyczka Yoast Duplicate Post w wersji do 4.6 wprowadza nieosłonięty tytuł posta i permalink do powiadomienia o zaplanowanym ponownym opublikowaniu w klasycznym edytorze. Atakujący mogą zaplanować ponowne opublikowanie kopii z przygotowanym tytułem, aby wykonać skrypt, gdy administrator wyświetli wynikowe powiadomienie.

CVE-2026-53739
Średnie

Wtyczka Yoast Duplicate Post w wersji do 4.6 zawiera podatność na atak typu cross-site request forgery w obsłudze duplicate_post_dismiss_notice, która nie weryfikuje nonce ani uprawnień. Atakujący mogą oszukać uwierzytelnionego użytkownika, aby wysłał żądanie, które ustawia opcję site duplicate_post_show_notice, tłumiąc powiadomienia administracyjne w całej sieci.

CVE-2026-53737
Średnie

Juicer w wersji do 1.12.18 nie ucieka z pól odpowiedzi API zdalnego źródła przed ich renderowaniem na stronie ustawień administratora. Atakujący, którzy kontrolują dane z podłączonego źródła, mogą wstrzykiwać skrypty, które wykonują się w przeglądarce administratora podczas ładowania strony ustawień.

CVE-2026-53736
Średnie

Easy Twitter Feeds w wersji przed 1.2.13 zawiera podatność na atak typu cross-site request forgery w obsłudze akcji duplicate_post, która nie weryfikuje nonce. Atakujący mogą oszukać uwierzytelnionego użytkownika, aby odwiedził spreparowany link, który duplikuje dowolny post, niezależnie od jego typu.

CVE-2026-53634
Średnie

Sharp to framework zarządzania treścią zbudowany dla Laravel jako pakiet. W wersjach od 9.0.0 do przed 9.22.3, punkty końcowe create i store funkcji Szybkiego Tworzenia nie wymuszały żadnej kontroli autoryzacji.

CVE-2026-48108
Średnie

Russh to biblioteka SSH w języku Rust, która w wersjach od 0.34.0-beta.1 do przed wersją 0.61.0 nie egzekwowała zasad dotyczących identyfikacji SSH tak rygorystycznie jak OpenSSH. Problem ten pozwalał na przyjmowanie nieprawidłowych linii identyfikacyjnych przez serwer, co mogło prowadzić do wykorzystania zasobów połączenia w fazie wstępnej autoryzacji.

CVE-2026-48107
Średnie

Russh to biblioteka klienta i serwera SSH napisana w Rust. W wersjach od 0.37.0 do przed 0.61.0, w ścieżce uwierzytelniania interaktywnego klienta russh, złośliwy serwer SSH mógł wysłać USERAUTH_INFO_REQUEST z kontrolowaną przez atakującego liczbą komunikatów, co prowadziło do wykorzystania tej liczby bez wcześniejszej walidacji danych.

CVE-2026-46705
Średnie

Russh to biblioteka klienta i serwera SSH napisana w Rust. W wersjach od 0.34.0-beta.1 do przed 0.61.0, stan autoryzacji użytkownika jest przechowywany wewnętrznie, co może prowadzić do nieprawidłowego przetwarzania żądań autoryzacyjnych, gdy zmienia się użytkownik lub usługa.

CVE-2026-46523
Średnie

W ImageMagick przed wersjami 7.1.2.23 i 6.9.13-48, specjalnie spreparowany obraz MSL może spowodować użycie pamięci po jej zwolnieniu (heap-use-after-free).

CVE-2026-45664
Średnie

W ImageMagick przed wersjami 6.9.13-47 i 7.1.2-22 brak sprawdzenia w koderze MNG umożliwia odczytanie większej liczby obrazów niż pozwala na to polityka limitu listy, co prowadzi do nadmiernego zużycia zasobów.

CVE-2026-45624
Średnie

ImageMagick przed wersjami 6.9.13-47 i 7.1.2-22 ma podatność na nadmierne odczytywanie pamięci o długości 24 bajtów podczas wykonywania zniekształcenia wielomianowego przy określonych argumentach. Problem został naprawiony w wersjach 6.9.13-47 i 7.1.2-22.

CVE-2026-45384
Średnie

W bibliotece bit7z przed wersją 4.0.12 występuje podatność na nadpisanie plików w wyniku ataku symlink na przewidywalne pliki tymczasowe podczas aktualizacji archiwum. Problem został naprawiony w wersji 4.0.12.

CVE-2026-45359
Średnie

W ImageMagick przed wersjami 6.9.13-48 i 7.1.2-22 nieprawidłowa wartość parametru connected-components:keep-top może prowadzić do odczytu poza zakresem pamięci sterty podczas wykonywania operacji na połączonych komponentach.

CVE-2026-45358
Średnie

ImageMagick przed wersjami 6.9.13-47 i 7.1.2-22 zawierał błąd 'off by one' w enkoderze meta, co mogło prowadzić do odczytu poza granicami jednego bajtu. Problem został naprawiony w wersjach 6.9.13-47 i 7.1.2-22.

CVE-2026-45031
Średnie

W ImageMagick przed wersjami 6.9.13-47 i 7.1.2-22 brakowało sprawdzenia w dekoderze PSD, co umożliwiało ominięcie polityki ograniczeń długości listy podczas dekodowania obrazów PSD. Inne ograniczenia bezpieczeństwa nadal obowiązywały.

CVE-2026-42326
Średnie

ImageMagick przed wersjami 6.9.13-47 i 7.1.2-22 miał lukę, która pozwalała na odczyt poza granicami pamięci podczas zapisywania pliku wyjściowego IPTC. Problem został naprawiony w wymienionych wersjach.

CVE-2026-11604
Średnie

Błędne obliczenie rozmiaru bufora w generatorze kluczy epok w OpenVPN ovpn-dco-win w wersjach od 2.0.0 do 2.8.3 umożliwia zdalnemu uwierzytelnionemu partnerowi wywołanie przepełnienia bufora w stercie oraz uszkodzenia pamięci jądra poprzez spreparowany pakiet danych, co prowadzi do awarii systemu (odmowa usługi).

CVE-2026-0273
Średnie

W PAN-OS® występuje podatność na wstrzykiwanie poleceń, która pozwala uwierzytelnionemu administratorowi na ominięcie ograniczeń systemowych i uruchomienie dowolnych poleceń jako użytkownik root. Wykorzystanie tej podatności wymaga dostępu do CLI lub interfejsu webowego PAN-OS.

PoprzedniaStrona 129 z 550Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS