Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
Tryb Cloak aplikacji Rakuten Viber w wersji Android v25.7.2.0g oraz Windows v25.6.0.0–v25.8.1.0 wykorzystuje statyczny i przewidywalny odcisk palca TLS ClientHello, który nie zapewnia różnorodności rozszerzeń. To umożliwia systemom Deep Packet Inspection (DPI) łatwe identyfikowanie i blokowanie ruchu proxy, co podważa możliwości omijania cenzury.
Podatność typu Cross-Site Request Forgery (CSRF) w kliencie RustDesk umożliwia eskalację uprawnień. Dotyczy to plików programowych oraz modułów mostków FFI w systemach Windows, MacOS, Linux, iOS i Android.
Podatność w kliencie RustDesk pozwala na ataki typu brute force na hasła z powodu niewystarczającego wysiłku obliczeniowego przy haszowaniu oraz niewłaściwego ograniczenia nadmiernych prób uwierzytelnienia. Mechanizm uwierzytelniania oparty na SHA256 nie wykorzystuje funkcji wolnej do generacji kluczy, co umożliwia atakującym odzyskanie hasła offline.
Podatność w kliencie RustDesk umożliwia nadużycie uprawnień na różnych platformach, w tym Windows, MacOS, Linux, iOS, Android oraz WebClient. Dotyczy to modułów związanych z zarządzaniem konfiguracją oraz pętlą synchronizacji API.
Wtyczka Database for Contact Form 7, WPforms, Elementor forms dla WordPressa jest podatna na wstrzyknięcie obiektów PHP we wszystkich wersjach do i włącznie z 1.4.7 poprzez deserializację nieufnych danych wejściowych w funkcji 'download_csv'. Umożliwia to nieautoryzowanym atakującym wstrzyknięcie obiektu PHP.
Funkcja zarządzania plikami, która nie jest odpowiednio zabezpieczona, pozwala na przesyłanie niebezpiecznych typów danych przez użytkowników nieautoryzowanych, co prowadzi do zdalnego wykonania kodu.
Podatność umożliwia nieautoryzowane zapisanie pliku poprzez atak typu Path Traversal, co może prowadzić do zdalnego wykonania kodu w interfejsie użytkownika SeppMail. Problem dotyczy funkcji transferu dużych plików (LFT).
Podatność na obejście uwierzytelniania w module uwierzytelniania urządzenia. Skuteczne wykorzystanie tej podatności wpłynie na integralność i poufność danych.
Funkcja dns_unpack_name() buforuje miejsce na końcu bufora i ponownie je wykorzystuje podczas dodawania etykiet DNS. W miarę wzrostu bufora, rozmiar buforu staje się niepoprawny, co może prowadzić do zapisu po zakończeniu bufora.
Wtyczka Login with Salesforce dla WordPressa w wersji do 1.0.2 nie weryfikuje, czy użytkownicy mają prawo logować się przez Salesforce. Umożliwia to nieautoryzowanym użytkownikom uzyskanie dostępu jako dowolny użytkownik (np. administrator) jedynie na podstawie znajomości adresu e-mail.
Oprogramowanie układowe odbiornika satelitarnego IDC SFX2100 zawiera wiele plików konfiguracyjnych demonów, które są własnością roota, ale są dostępne do odczytu dla wszystkich. Pliki konfiguracyjne zawierają twardo zakodowane lub w inny sposób niebezpieczne hasła w postaci tekstu jawnego, w tym dane uwierzytelniające do trybu uprzywilejowanego.
W systemie WP Attractive Donations System - Easy Stripe & Paypal donations występuje podatność na SQL Injection, która pozwala na przeprowadzenie Blind SQL Injection. Problem ten dotyczy wersji od n/a do 1.25 włącznie.
Podatność CVE-2026-28114 dotyczy menedżera licencji WooCommerce, który pozwala na nieograniczone przesyłanie plików o niebezpiecznym typie. Umożliwia to przesłanie powłoki sieciowej na serwer WWW, co stanowi poważne zagrożenie dla bezpieczeństwa.
Podatność CVE-2026-28105 dotyczy deserializacji niezaufanych danych w wtyczce ThemeREX Good Energy, co pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji Good Energy od n/a do 1.7.7 włącznie.
Podatność na deserializację niezaufanych danych w ThemeREX Pizza House pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji Pizza House od n/a do 1.4.0 włącznie.
Podatność CVE-2026-28043 dotyczy niewłaściwej kontroli nazw plików w instrukcjach include/require w programie PHP, co prowadzi do lokalnego włączenia plików PHP w motywie WordPress ThemeREX Healer - Doctor, Clinic & Medical. Problem ten dotyczy wersji motywu od n/a do 1.0.0.
W podatności CVE-2026-27984 występuje niewłaściwa kontrola generowania kodu, co pozwala na wstrzyknięcie kodu w widgecie Marketing Fire Widget Options. Problem dotyczy wersji Widget Options od n/a do 4.1.3 włącznie.
Podatność związana z nieprawidłowym przypisaniem uprawnień w designthemes LMS Elementor Pro umożliwia eskalację uprawnień. Problem ten dotyczy wersji LMS Elementor Pro od n/a do 1.0.4 włącznie.
Podatność na deserializację niezaufanych danych w ThemeREX Dentario umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji Dentario od n/a do 1.5 włącznie.
Podatność na deserializację niezaufanych danych w ThemeREX Kingler umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji Kingler od n/a do 1.7 włącznie.

