Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2022-50953
Średnie

Wtyczka WordPress admin-word-count-column w wersji 2.2 zawiera podatność na odczyt lokalnych plików, która pozwala nieautoryzowanym atakującym na odczyt dowolnych plików poprzez wykorzystanie wstrzyknięcia bajtów null w parametrze ścieżki.

CVE-2021-47984
Średnie

Wtyczka WordPress WP24 Domain Check w wersji 1.6.2 zawiera podatność na przechowywane ataki XSS, umożliwiając uwierzytelnionym atakującym wstrzykiwanie złośliwych skryptów poprzez pole 'fieldnameDomain'. Atakujący mogą wstrzykiwać ładunki JavaScript przez formularz ustawień w pliku options.php, które wykonują się w przeglądarkach administratorów przeglądających stronę ustawień.

CVE-2021-47983
Średnie

Wtyczka WordPress Stripe Payments w wersji 2.0.39 zawiera podatność na przechowywane ataki XSS, umożliwiając uwierzytelnionym atakującym wstrzykiwanie złośliwych skryptów przez parametr AcceptStripePayments-settings[currency_code]. Atakujący mogą wysyłać żądania POST do /wp-admin/options.php z ładunkami skryptów w polu currency_code, co pozwala na wykonanie dowolnego JavaScriptu w przeglądarkach administratorów podczas przeglądania ustawień.

CVE-2021-47982
Średnie

Wtyczka WordPress WP-Paginate w wersji 2.1.3 zawiera podatność na przechowywane ataki typu cross-site scripting (XSS), która pozwala uwierzytelnionym atakującym na wstrzykiwanie złośliwych skryptów poprzez manipulację parametrem preset.

CVE-2026-11473
Średnie

Zidentyfikowano podatność w jflyfox jfinal_cms do wersji 5.1.0, która dotyczy funkcji list w pliku AdvicefeedbackController.java. Manipulacja argumentem orderBy prowadzi do wstrzyknięcia SQL.

CVE-2026-11470
Średnie

Wykryto podatność w hs-web hsweb-framework do wersji 5.0.1, która dotyczy funkcji denied w pliku FileUploadProperties.java. Manipulacja argumentem filename prowadzi do ataku typu path traversal, który można przeprowadzić zdalnie.

CVE-2026-11469
Średnie

W jishenghua jshERP do wersji 3.6 zidentyfikowano lukę w funkcji insertPlatformConfig, która może prowadzić do ataku typu server-side request forgery (SSRF). Manipulacja argumentem platformValue umożliwia zdalne wykonanie ataku.

CVE-2026-11467
Średnie

W jishenghua jshERP w wersjach do 3.6 zidentyfikowano podatność, która dotyczy funkcji addAccountHeadAndDetail w pliku AccountHeadService.java. Manipulacja argumentem fileName prowadzi do ataku typu path traversal, który może być przeprowadzony zdalnie.

CVE-2026-11466
Średnie

Zidentyfikowano słabość w zilliztech deep-searcher do wersji 0.0.2, która dotyczy funkcji CollectionRouter.invoke w pliku deepsearcher/agent/collection_router.py. Manipulacja argumentem kwargs prowadzi do niewłaściwych kontroli dostępu.

CVE-2026-11461
Średnie

Wykryto podatność w NousResearch hermes-agent do wersji 0.12.0, która dotyczy funkcji resolve_session_by_title w pliku hermes_state.py komponentu resume Endpoint. Manipulacja argumentem Title prowadzi do obejścia autoryzacji.

CVE-2026-11458
Średnie

Zidentyfikowano słabość w erzhongxmu JeeWMS do wersji 141740afb2ba14d441c82a833d0a418d07ca2d69, która dotyczy nieznanego przetwarzania pliku /base-boot/actuator w komponencie Boot Actuator Endpoint. Manipulacja tym plikiem może prowadzić do ujawnienia informacji.

CVE-2026-11455
Średnie

W podatności CVE-2026-11455 w FoundationAgents MetaGPT do wersji 0.8.2 zidentyfikowano problem w funkcji check_cmd_exists w pliku metagpt/utils/common.py. Manipulacja argumentem mermaid.path prowadzi do możliwości wstrzyknięcia poleceń.

CVE-2026-11453
Średnie

W systemie Tiobon Employee Self-Service do wersji 7.2 zidentyfikowano podatność, która dotyczy nieznanej funkcjonalności pliku /Blog/BlogSearch.aspx w komponencie Login Endpoint. Manipulacja argumentem Keyword prowadzi do wstrzykiwania SQL, co może być wykorzystane zdalnie.

CVE-2026-11449
ŚrednieEPSS 73%

Wykryto podatność w GL.iNet GL-MT3000 w wersji 4.4.5, dotycząca funkcji rpc_sys w pliku /cgi-bin/luci/rpc interfejsu LuCI JSON-RPC. Manipulacja tą funkcją prowadzi do wstrzyknięcia poleceń.

CVE-2026-11448
Średnie

Zidentyfikowano słabość w GL.iNet GL-MT3000 do wersji 4.4.5, która dotyczy funkcji realpath w pliku /rpc komponentu Minidlna Service. Manipulacja argumentem kube.set prowadzi do wstrzyknięcia poleceń.

CVE-2026-11447
Średnie

W GL.iNet GL-MT3000 do wersji 4.4.5 odkryto lukę bezpieczeństwa w funkcji iwinfo_backend pliku iwinfo.so komponentu MTK Backend. Manipulacja argumentem urządzenia prowadzi do wstrzyknięcia poleceń, co może być zrealizowane zdalnie.

CVE-2026-11441
Średnie

Zidentyfikowano podatność w onedev do wersji 15.0.5, która dotyczy funkcji canAccessIssue w pliku /issues/ komponentu Pull Request Handler. Manipulacja argumentem issue prowadzi do niewłaściwej autoryzacji.

CVE-2026-11440
Średnie

Wykryto podatność w theonedev do wersji 15.0.5, która dotyczy nieznanej części pliku /repositories/{projectId}/default-branch w komponencie REST API. Manipulacja argumentem project.defaultBranch prowadzi do niewłaściwej autoryzacji.

CVE-2026-11439
Średnie

Wykryto podatność w onedev do wersji 15.0.5, dotycząca nieznanej funkcjonalności pliku /projects/ w komponencie Parent Project Handler. Manipulacja argumentem project.parentId prowadzi do niewłaściwej autoryzacji.

CVE-2026-11438
Średnie

Wykryto podatność w theonedev do wersji 15.0.5, która dotyczy nieznanej funkcjonalności pliku /projects. Manipulacja argumentem project.forkedFromId prowadzi do niewłaściwej autoryzacji.

PoprzedniaStrona 163 z 560Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS