Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-36180
Średnie

W oprogramowaniu GNCC GP5 w wersji 7.1.76 brakuje integralności środowiska wykonawczego, co umożliwia atakującemu z fizycznym dostępem ominięcie ochrony systemu plików przed zapisem. Poprzez atak bind-mount, atakujący może modyfikować pliki systemowe i binarne na czas trwania sesji rozruchowej.

CVE-2026-36178
Średnie

Funkcja przywracania ustawień fabrycznych w GNCC GP5 v7.1.76 nie usuwa poufnych materiałów kryptograficznych z partycji konfiguracyjnej JFFS2, co może umożliwić atakującym odzyskanie i uzyskanie wrażliwych danych użytkownika.

CVE-2026-36175
Średnie

Podatność w komponencie U-Boot urządzenia GNCC GP5 v7.1.76 umożliwia fizycznie bliskiemu atakującemu ominięcie uwierzytelniania i uzyskanie dostępu root przez przerwanie sekwencji rozruchu i wstrzyknięcie spreparowanego ciągu do argumentów jądra.

CVE-2026-36174
Średnie

W oprogramowaniu GNCC GP5 w wersji 7.1.76 odkryto, że podczas rutynowych operacji zapisuje wrażliwe informacje o sieci bezprzewodowej w postaci jawnego tekstu na konsoli szeregowej. Umożliwia to fizycznie bliskim atakującym przechwycenie danych uwierzytelniających do sieci poprzez monitorowanie interfejsu UART.

CVE-2026-10864
Średnie

Podatność w widgetach dashboardu MISP pozwalała uwierzytelnionemu użytkownikowi na manipulację opcjami pól, co mogło prowadzić do ujawnienia adresów e-mail użytkowników oraz innych danych organizacji, nawet gdy ich ujawnienie było zablokowane w konfiguracji.

CVE-2026-10860
Średnie

Błąd logiczny w komponencie CRUD MISP w obsłudze usuwania pozwala na ominięcie błędów walidacji przy użyciu metody HTTP DELETE. Z powodu braku nawiasów w warunku usuwania, żądanie DELETE mogło zostać zrealizowane, nawet gdy walidacja odrzuciła operację.

CVE-2026-10811
Średnie

W systemie zarządzania opłatami itsourcecode w wersji 1.0 wykryto podatność bezpieczeństwa. Manipulacja argumentem ef_id w pliku /receipt.php prowadzi do wstrzyknięcia SQL, co może być wykorzystane przez zdalnego atakującego.

CVE-2026-43926
Średnie

FOSSBilling to darmowy, otwartoźródłowy system zarządzania fakturami i klientami. W wersjach przed 0.8.0, punkt końcowy potwierdzenia resetu hasła `/client/reset-password-confirm/:hash` nie jest objęty ograniczeniem liczby żądań, co pozwala atakującemu na nieograniczone próby zgadywania tokenów resetujących hasło.

CVE-2026-40605
Średnie

Tautulli to narzędzie do monitorowania i śledzenia dla Plex Media Server, oparte na Pythonie. W wersjach przed 2.17.1 występuje podatność typu path traversal w punkcie końcowym usuwania pamięci podręcznej, która pozwala na usunięcie katalogów poza skonfigurowaną ścieżką pamięci podręcznej przez uwierzytelnionych użytkowników API.

CVE-2026-10861
Średnie

W MISP występowała podatność na otwarte przekierowanie w metodzie UsersController::routeafterlogin(), gdzie wartość klucza sesji pre_login_requested_url była używana jako cel przekierowania po logowaniu, bez odpowiedniego sprawdzenia, czy jest to lokalna ścieżka aplikacji.

CVE-2026-10856
Średnie

W panelu MISP wystąpiła luka w walidacji URL, która pozwalała na zaakceptowanie zmanipulowanego URL-a jako lokalnej ścieżki, podczas gdy przeglądarki interpretowały go jako zewnętrzny URL. Luka ta umożliwiała atakującym tworzenie przycisków, które wydawały się prowadzić do aplikacji, ale przekierowywały użytkowników na kontrolowane przez nich strony.

CVE-2026-10855
Średnie

W aplikacji MISP Event Template Importer wystąpiła luka autoryzacyjna w procesie nadpisywania szablonów wydarzeń. Użytkownik mógł nadpisać szablon należący do innej organizacji, nie będąc jej członkiem.

CVE-2026-10854
Średnie

Problem z kontrolą widoczności w procesie tworzenia szablonów wydarzeń pozwalał użytkownikom, którzy nie są administratorami strony, na dostęp do prywatnych galaktyk należących do innych organizacji. Twórca szablonów wydarzeń ładował wszystkie włączone galaktyki bez stosowania ograniczeń dostępu opartych na organizacji lub dystrybucji.

CVE-2026-10810
Średnie

Zidentyfikowano słabość w systemie zarządzania opłatami itsourcecode do wersji 1.0. Manipulacja argumentem 'page' w pliku /navbar.php prowadzi do podatności na ataki typu cross site scripting (XSS).

CVE-2026-10809
Średnie

W systemie zarządzania opłatami itsourcecode w wersji 1.0 odkryto lukę bezpieczeństwa, która dotyczy nieznanej funkcji pliku /manage_user.php. Manipulacja argumentem ID prowadzi do wstrzyknięcia SQL, co umożliwia zdalne przeprowadzenie ataku.

CVE-2026-10808
Średnie

Zidentyfikowano podatność w systemie zarządzania opłatami itsourcecode w wersji 1.0. Problem dotyczy nieznanej funkcji w pliku /manage_student.php, gdzie manipulacja argumentem ID prowadzi do wstrzykiwania SQL.

CVE-2026-10807
Średnie

Wykryto podatność w mjperpinosa stumasy, która dotyczy nieznanej funkcji w pliku application/PHP/objects/profiles/change_profile_image.php. Manipulacja argumentem pr_profile_image może prowadzić do nieograniczonego przesyłania plików.

CVE-2026-10806
Średnie

Wykryto podatność w mjperpinosa stumasy, która dotyczy nieznanej funkcji w pliku application/PHP/objects/updates/add_post.php. Manipulacja argumentem up_file_to_post prowadzi do nieograniczonego przesyłania plików, co może być inicjowane zdalnie.

CVE-2019-25744
Średnie

WordPress Popup Builder w wersji 3.49 zawiera podatność na trwałe skrypty między witrynami (XSS), która pozwala uwierzytelnionym atakującym na wstrzykiwanie złośliwych skryptów poprzez wyjście z tagów opcji w parametrze post_title.

CVE-2019-25743
Średnie

WordPress Soliloquy Lite w wersji 2.5.6 zawiera podatność na trwałe skrypty między witrynami (XSS), która pozwala uwierzytelnionym atakującym na wstrzykiwanie złośliwych skryptów poprzez dodanie tagów skryptów w polu tytułu posta.

PoprzedniaStrona 180 z 560Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS