Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.13)
Podatność w funkcji thr_kill2(2) systemu FreeBSD pozwala na wysłanie sygnału do dowolnego procesu bez sprawdzenia uprawnień. Brak weryfikacji wyniku funkcji p_cansignal() umożliwia nieuprzywilejowanemu użytkownikowi wysłanie sygnału do procesów innych użytkowników lub roota, a także do procesów poza granicami jądra (jail).
Podatność w Mattermost umożliwia uwierzytelnionemu atakującemu kradzież danych poprzez wstrzyknięcie składni obrazka Markdown do wyników narzędzi AI bota. Ograniczenia renderowania obrazków Markdown nie są prawidłowo stosowane do postów z wynikami narzędzi AI, co pozwala na wyciek danych do kontrolowanego przez atakującego serwera po wyrenderowaniu przez klient ofiary.
W parserze PSD programu FastStone Image Viewer w wersji 8.3 występuje przepełnienie liczby całkowitej. Umożliwia ono atakującemu wykonanie dowolnego kodu lub spowodowanie odmowy usługi (DoS) poprzez dostarczenie spreparowanego pliku PSD.
Podatność przepełnienia sterty w procesie FSViewer.exe programu FastStone Image Viewer w wersji 8.3 umożliwia atakującemu wykonanie dowolnego kodu w kontekście bieżącego procesu poprzez dostarczenie spreparowanego pliku JPEG 2000 (JP2).
Podatność wtyczki SiteGround Email Marketing w wersjach do 1.7.5 umożliwia niezautoryzowanym atakującym ominięcie kontroli dostępu. Brak wymaganego uwierzytelnienia pozwala na nieautoryzowane operacje na zasobach wtyczki.
Wtyczka BNE Testimonials w wersji 2.0.8 i starszych zawiera podatność na atak XSS (Cross Site Scripting) ze strony współtwórców. Umożliwia to wstrzyknięcie złośliwego kodu JavaScript przez autora treści.
Podatność Cross Site Scripting (XSS) wtyczki Contributor Cross Site Scripting (XSS) w Image Carousel w wersjach do 1.0.0.41 umożliwia atakującemu wstrzyknięcie złośliwego kodu JavaScript do strony. Luka występuje z powodu niewystarczającego filtrowania danych wejściowych.
Podatność Local File Inclusion (LFI) wtyczki Goya Core w wersjach starszych niż 1.0.9.4 umożliwia osobie z rolą kontrybutora odczyt dowolnych plików na serwerze.
Wtyczka Splash - Sport Club WordPress Theme dla koszykówki, piłki nożnej i hokeja w wersji 4.4.3 i starszych zawiera podatność na lokalne dołączanie plików (LFI) przez współtwórców. Umożliwia to atakującemu z uprawnieniami współtwórcy odczyt wrażliwych plików na serwerze.
Podatność umożliwia atak CSRF bez uwierzytelnienia we wtyczce Eagle Booking w wersjach do 1.3.4.3. Atakujący może nakłonić administratora do wykonania niezamierzonych działań, np. zmiany ustawień lub dodania nowych użytkowników.
Podatność typu Insecure Direct Object References (IDOR) w wtyczce BookPro w wersji 1.1.0 i starszych umożliwia nieuwierzytelnionemu atakującemu dostęp do zasobów, do których nie powinien mieć uprawnień. Problem wynika z braku weryfikacji uprawnień przy bezpośrednim odwoływaniu się do obiektów.
W wersjach Auros Core do 5.3.1 włącznie istnieje podatność umożliwiająca niezautoryzowane wstrzykiwanie treści. Atakujący bez uwierzytelnienia może modyfikować zawartość aplikacji.
Wtyczka Donation Thermometer w wersjach do 2.2.7 zawiera podatność na nieuwierzytelniony, uszkodzony mechanizm kontroli dostępu. Osoba atakująca bez uwierzytelnienia może uzyskać nieautoryzowany dostęp do funkcji wtyczki.
Wtyczka Live Copy Paste dla Elementor w wersji 1.5.3 i niższych zawiera podatność polegającą na nieprawidłowej kontroli dostępu dla współautorów. Umożliwia to użytkownikom z rolą współautora wykonanie nieautoryzowanych działań.
Wtyczka Restaurant Menu by MotoPress w wersji 2.4.11 i starszych zawiera podatność polegającą na złamaniu kontroli dostępu przez subskrybentów. Użytkownicy z rolą subskrybenta mogą uzyskać nieautoryzowany dostęp do funkcji zarządzania menu restauracji.
Wtyczka Forget About Shortcode Buttons w wersji 2.1.3 i niższych zawiera podatność polegającą na nieprawidłowej kontroli dostępu dla współautorów. Osoba z rolą współautora może uzyskać nieautoryzowany dostęp do funkcji, które powinny być zarezerwowane dla wyższych ról.
HTMLy 3.1.1 zawiera podatność na fałszowanie żądań po stronie serwera (SSRF) w funkcji importowania kanałów RSS. Funkcja get_feed() w pliku system/admin/admin.php przekazuje dostarczony przez użytkownika adres URL bezpośrednio do funkcji file_get_contents() bez żadnej walidacji. Uwierzytelniony atakujący z uprawnieniami administratora może wykorzystać tę podatność, wprowadzając spreparowany adres URL (np. http://dnslog.example.com, file:///etc/passwd lub http://169.254.169.254 w kontekście chmurowym) poprzez narzędzia -> Importuj RSS. Serwer następnie wysyła żądanie do kontrolowanego przez atakującego celu.
W JetBrains YouTrack przed wersją 2026.2.16593 mostek websandbox był podatny na atak typu prototype pollution. Podatność ta może pozwolić atakującemu na manipulację prototypem obiektów w środowisku wykonawczym.
W JetBrains YouTrack przed wersją 2026.2.16593 wykryto lukę w kontroli dostępu, która umożliwiała odczytanie zapisanych zapytań i tagów przez nieuprawnionych użytkowników.
W JetBrains YouTrack przed wersją 2026.2.16593 domyślna konfiguracja roli ujawniała nadmierne szczegóły profilu użytkownika.

