Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-10024
Średnie

Wtyczka TinyMCE shortcode Addon dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez atrybut 'btnrel' Shortcode w wersjach do 1.0.0 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia.

CVE-2026-5714
Średnie

Wtyczka Enable Media Replace dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez parametr 'location_dir' we wszystkich wersjach do 4.1.8 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie autora i wyżej wstrzykiwanie dowolnych skryptów webowych na stronach, które będą wykonywane przy każdym dostępie użytkownika do zainfekowanej strony.

CVE-2026-11621
Średnie

Zidentyfikowano słabość w Dcat-Admin do wersji 2.2.3-beta, która wpływa na funkcję editorMDUpload w pliku /admin/dcat-api/editor-md/upload na stronie ustawień użytkownika. Manipulacja argumentem editormd-image-file umożliwia nieograniczony upload plików.

CVE-2026-11620
Średnie

W urządzeniu TOTOLINK EX200 w wersji 4.0.3c.7646 odkryto lukę bezpieczeństwa w pliku /etc/vsftpd.conf komponentu vsftpd. Manipulacja tym plikiem prowadzi do naruszenia zasady minimalnych uprawnień.

CVE-2026-11619
Średnie

Zidentyfikowano podatność w Dolibarr ERP CRM do wersji 23.0.2, która dotyczy nieznanej funkcji w pliku htdocs/core/filemanagerdol/connectors/php/config.inc.php komponentu Legacy Filemanager. Manipulacja prowadzi do niewłaściwej autoryzacji, co umożliwia zdalne przeprowadzenie ataku.

CVE-2026-10862
Średnie

Wtyczka Accordions dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez pole treści akordeonu we wszystkich wersjach do 2.3.23 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia.

CVE-2026-44757
Średnie

SAP Wily Introscope Enterprise Manager pozwala nieautoryzowanemu atakującemu na stworzenie specjalnie przygotowanego adresu URL. W określonych warunkach, po jego otwarciu przez ofiarę, wstrzyknięty skrypt może zostać wykonany w przeglądarce użytkownika w kontekście aplikacji.

CVE-2026-44755
Średnie

Platforma SAP Business Objects Business Intelligence nie weryfikuje wystarczająco parametrów wysyłania e-maili dostarczanych przez uwierzytelnionych użytkowników, co prowadzi do podatności na fałszowanie e-maili.

CVE-2026-44754
Średnie

Moduły Remote Function Call (RFC) w API replikacji danych Operational Data Provisioning (ODP-RFC) nie identyfikują wywołujących dozwolonych aplikacji wewnętrznych SAP, co może prowadzić do niezamierzonego ujawnienia danych.

CVE-2026-44750
Średnie

SAP MDG (Aplikacja Przeglądania Grup Dopasowań) nie przeprowadza wymaganych kontroli autoryzacji dla uwierzytelnionych użytkowników. Może to pozwolić użytkownikowi o niskich uprawnieniach na wykonywanie działań, które normalnie byłyby zablokowane, co prowadzi do eskalacji uprawnień.

CVE-2026-44746
Średnie

W SAP NetWeaver JAVA (serwlet testowy JDBC) występuje podatność na refleksyjny atak XSS, która pozwala nieautoryzowanemu atakującemu na stworzenie złośliwego linku. Kliknięcie w ten link przez ofiarę może prowadzić do wykonania złośliwego skryptu w przeglądarce ofiary.

CVE-2026-44744
Średnie

SAP S/4HANA (On-Premise) zawiera podatność na wstrzykiwanie SQL w zdalnie aktywowanym module funkcjonalnym, która może być wykorzystana przez uwierzytelnionego atakującego do potencjalnego wykonania nieautoryzowanych zapytań do bazy danych. Ta wada naraża wrażliwe informacje, do których atakujący nie powinni mieć dostępu.

CVE-2026-24315
Średnie

SAP Fiori Launchpad umożliwia atakującym tworzenie złośliwych adresów URL, które wywołują dowolne wywołania usług w domenie Fiori. Otworzenie takiego linku przez użytkownika może prowadzić do kompromitacji kont poprzez kradzież danych uwierzytelniających.

CVE-2026-11701
Średnie

Nieodpowiednia implementacja w trybie Gościa w Google Chrome przed wersją 149.0.7827.103 umożliwiła zdalnemu atakującemu przeprowadzenie oszustwa interfejsu użytkownika za pomocą spreparowanej strony HTML.

CVE-2026-11696
Średnie

W Google Chrome na systemie Windows przed wersją 149.0.7827.103 wystąpiło wykorzystanie niezainicjowanej pamięci w module wideo, co pozwalało zdalnemu atakującemu, który przejął proces renderera, na uzyskanie potencjalnie wrażliwych informacji z pamięci procesu za pomocą spreparowanej strony HTML.

CVE-2026-11695
Średnie

Nieodpowiednia implementacja w zarządzaniu hasłami w Google Chrome przed wersją 149.0.7827.103 umożliwiała zdalnemu atakującemu wyciek danych między różnymi źródłami za pomocą spreparowanej strony HTML.

CVE-2026-11685
Średnie

Nieodpowiednia implementacja w MediaCapture w Google Chrome na Mac przed wersją 149.0.7827.103 umożliwiła zdalnemu atakującemu wyciek danych między źródłami za pomocą spreparowanej strony HTML.

CVE-2026-11678
Średnie

Przepełnienie całkowitej liczby w libyuv w Google Chrome przed wersją 149.0.7827.103 umożliwia zdalnemu atakującemu, który przejął proces renderowania, uzyskanie potencjalnie wrażliwych informacji z pamięci procesu za pomocą spreparowanej strony HTML.

CVE-2026-11669
Średnie

W Google Chrome na ChromeOS przed wersją 149.0.7827.103 wystąpiła podatność związana z odczytem danych poza przydzielonym zakresem, która pozwalała zdalnemu atakującemu, który przejął proces renderowania, na uzyskanie potencjalnie wrażliwych informacji z pamięci procesu za pomocą spreparowanej strony HTML.

CVE-2026-11668
Średnie

W Google Chrome na systemach Linux i ChromeOS przed wersją 149.0.7827.103 występuje problem z nieinicjalizowanym użyciem w kodekach, który pozwala zdalnemu atakującemu na wyciek danych między źródłami za pomocą spreparowanego pliku wideo.

PoprzedniaStrona 151 z 553Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS