Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-14249
Wysokie

Wtyczka Request a Quote dla WordPressa do wersji 2.5.5 zawiera podatność na wstrzykiwanie kodu przez akcję AJAX emd_delete_file. Atakujący bez uwierzytelnienia może wywołać dowolne funkcje PHP bez argumentów, takie jak phpinfo(), poprzez manipulację parametrem $_POST['path'].

CVE-2026-57278
Wysokie

Wtyczka GeoWebPlayer (Web Plugin/WS Player) dla oprogramowania GeoVision zawiera podatność na przepełnienie bufora w funkcji obsługującej polecenie `connectionInfo`. Atakujący z localhost może wysłać spreparowane dane JSON, które są kopiowane do buforów o stałym rozmiarze bez kontroli długości, co prowadzi do przepełnienia.

CVE-2026-57277
Wysokie

Wtyczka GeoWebPlayer (Web Plugin/WS Player) dla oprogramowania GeoVision (GV-VMS, GV-Cloud) zawiera podatność na przepełnienie bufora w funkcji obsługującej komendę `connectionInfo`. Atakujący z lokalnego hosta może wysłać spreparowane dane JSON, które są kopiowane do buforów o stałym rozmiarze bez kontroli długości, co prowadzi do przepełnienia.

CVE-2026-57276
Wysokie

Podatność przepełnienia bufora w GeoWebPlayer (Web Plugin) pozwala atakującemu z localhost na wykonanie kodu poprzez wysłanie spreparowanego żądania WebSocket z polem 'password' zawierającym zbyt długi ciąg znaków. Funkcja handle_connection_info kopiuje dane do stałych buforów bez kontroli długości, co prowadzi do przepełnienia.

CVE-2026-57275
Wysokie

Wtyczka GeoWebPlayer (Web Plugin/WS Player) dla oprogramowania GeoVision (GV-VMS, GV-Cloud) zawiera podatność na przepełnienie bufora w funkcji handle_connection_info. Atakujący z lokalnego hosta może wysłać spreparowane żądanie websocket z polem username, które powoduje kopiowanie danych do bufora o stałym rozmiarze bez kontroli długości.

CVE-2026-57274
Wysokie

Wtyczka GeoWebPlayer (Web Plugin/WS Player) dla oprogramowania GeoVision (GV-VMS, GV-Cloud) zawiera podatność na przepełnienie bufora w funkcji handle_connection_info. Atakujący z localhost może wysłać spreparowane żądanie JSON z polem password, które jest kopiowane do bufora o stałym rozmiarze bez kontroli długości, co prowadzi do przepełnienia.

CVE-2026-57273
Wysokie

Wtyczka GeoWebPlayer (Web Plugin/WS Player) dla oprogramowania GeoVision zawiera podatność na przepełnienie bufora w funkcji handle_connection_info. Atakujący z localhost może wysłać spreparowane żądanie JSON, które poprzez ręczne kopiowanie bajt po bajcie bez kontroli długości przepełnia bufor w polu username.

CVE-2026-57272
Wysokie

Podatność w GeoWebPlayer (Web Plugin) pozwala na dostęp poza zakresem do tablic poprzez nieprawidłowe sprawdzanie wartości indeksu w komendach WebSocket. Atakujący z localhost może wykorzystać tę lukę do wykonania nieautoryzowanych operacji.

CVE-2026-57271
Wysokie

Wtyczka GeoWebPlayer (znana również jako Web Plugin lub WS Player) dla oprogramowania GeoVision (GV-VMS, GV-Cloud) zawiera podatność polegającą na odczycie poza zakresem w obsłudze polecenia 'pause'. Może to prowadzić do nieoczekiwanego zachowania lub potencjalnego naruszenia bezpieczeństwa.

CVE-2026-57270
Wysokie

Podatność w GeoWebPlayer (Web Plugin/WS Player) dla oprogramowania GeoVision (GV-VMS, GV-Cloud) wynika z braku walidacji wartości `index` w komendach przychodzących z localhost. Pozwala to na dostęp do tablic poza dozwolonym zakresem, co może prowadzić do niekontrolowanego zachowania.

CVE-2026-57269
Wysokie

Podatność w GeoWebPlayer (Web Plugin/WS Player) dla oprogramowania GeoVision (GV-VMS, GV-Cloud) wynika z braku walidacji wartości 'index' w komendzie 'disconnect' serwera WebSocket. Pozwala to na dostęp do tablic poza dozwolonym zakresem, co może prowadzić do nieoczekiwanego zachowania lub potencjalnego przejęcia kontroli.

CVE-2026-57268
Wysokie

Wtyczka GeoWebPlayer (Web Plugin/WS Player) dla oprogramowania GeoVision (GV-VMS, GV-Cloud) zawiera podatność na odczyt poza zakresem w komendzie `saveVideo`. Indeks przekazany w komunikacie WebSocket nie jest walidowany, co pozwala na dostęp do krytycznych sekcji i wskaźników funkcji poza granicami tablicy, potencjalnie prowadząc do wykonania dowolnego kodu.

CVE-2026-57267
Wysokie

Podatność w GeoWebPlayer (Web Plugin/WS Player) pozwala na dostęp poza zakresem do tablic poprzez nieprawidłowe sprawdzenie wartości 'index' w komendzie 'snapshot'. Atakujący z localhost może wykorzystać tę lukę do wykonania nieautoryzowanych operacji.

CVE-2026-57266
Wysokie

Wtyczka GeoWebPlayer (Web Plugin/WS Player) dla oprogramowania GeoVision (GV-VMS, GV-Cloud) zawiera podatność na odczyt/wykonanie poza zakresem tablicy w komendzie 2wayAudio. Serwer WebSocket akceptuje polecenia z localhost, a wartość 'index' nie jest walidowana, co pozwala na dostęp do pamięci poza dozwolonym zakresem.

CVE-2026-57265
Wysokie

GeoWebPlayer (znany również jako Web Plugin lub WS Player) to dodatek do oprogramowania GeoVision (GV-VMS, GV-Cloud), który tworzy serwer WebSocket. Wiele komend tego serwera przyjmuje parametr `index`, który nie jest sprawdzany pod kątem zakresu, co pozwala na dostęp do tablic poza dozwolonymi granicami (out-of-bounds).

CVE-2026-57264
Wysokie

Podatność w GeoWebPlayer (Web Plugin) pozwala na dostęp poza zakresem do tablic poprzez komendę setPIP, gdzie wartość 'index' nie jest sprawdzana pod kątem prawidłowego zakresu. Może to prowadzić do niekontrolowanego odczytu lub zapisu pamięci.

CVE-2026-13132
Wysokie

Podatność w GeoWebPlayer (Web Plugin) pozwala na dostęp poza zakresem tablicy przez komendę setStream. Brak walidacji indeksu umożliwia atakującemu z localhost wykonanie operacji na nieprzewidzianych obszarach pamięci.

CVE-2026-13131
Wysokie

Podatność w GeoWebPlayer (Web Plugin) pozwala na dostęp poza zakresem do tablic poprzez niekontrolowany parametr 'index' w komendzie connectInfo. Brak walidacji zakresu indeksu umożliwia atakującemu z localhost wywołanie nieprzewidzianych działań.

CVE-2026-13125
Wysokie

GeoWebPlayer (znany również jako Web Plugin lub WS Player) to dodatek do oprogramowania GeoVision (GV-VMS, GV-Cloud), który uruchamia serwer WebSocket bez wymaganego uwierzytelnienia. Złośliwa strona internetowa może połączyć się z tym serwerem i wywołać metody `create` oraz `getScreenCapture`, aby przechwycić zawartość ekranu użytkownika.

CVE-2026-55794
Wysokie

Craft CMS w wersjach od 5.9.0 do 5.10.0 zawiera podatność, która pozwala użytkownikom panelu administracyjnego z uprawnieniami do edycji wpisów na wykonanie niesandboxowanego kodu Twig poprzez nagłówek HTTP Referrer. Problem występuje podczas zapisywania wpisów, gdy ciąg znaków dla podpisanego adresu URL przekierowania jest kompilowany jako szablon Twig bez użycia sandboxa, co może prowadzić do zdalnego wykonania kodu (RCE) po uwierzytelnieniu.

PoprzedniaStrona 13 z 3329Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS