Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
Podatność w systemie UniFi OS umożliwia nieautoryzowanym zmianom na urządzeniach przez atakującego z dostępem do sieci, przy określonych konfiguracjach sieciowych. Luka wynika z nieprawidłowej kontroli dostępu.
Podatność SSRF w aplikacji UniFi Protect umożliwia atakującemu z dostępem do sieci i niskimi uprawnieniami eskalację uprawnień na urządzeniu hosta.
Podatność w systemie UniFi OS umożliwia atakującemu z dostępem do sieci i niskimi uprawnieniami wykonanie wstrzyknięcia poleceń na urządzeniu poprzez niewłaściwą walidację danych wejściowych.
Podatność w aplikacji UniFi Access umożliwia eskalację uprawnień na urządzeniu hosta. Osoba atakująca z dostępem do sieci i wysokimi uprawnieniami może wykorzystać niewłaściwą kontrolę dostępu.
Podatność w aplikacji UniFi Access umożliwia atakującemu z dostępem do sieci i niskimi uprawnieniami wykonanie wstrzyknięcia poleceń na urządzeniu hosta z powodu nieprawidłowej walidacji danych wejściowych.
Podatność SQL Injection w aplikacji UniFi Talk umożliwia uwierzytelnionemu atakującemu z dostępem sieciowym i niskimi uprawnieniami eskalację uprawnień na urządzeniu hosta.
Podatność w aplikacji UniFi Connect umożliwia atakującemu z dostępem do sieci wykonanie wstrzyknięcia poleceń na urządzeniu hosta z powodu nieprawidłowej kontroli dostępu.
Brak uwierzytelniania dla krytycznej funkcji w WAF-ASP firmy TR7 Cyber Defense Inc. umożliwia nadużycie uwierzytelniania. Podatność dotyczy wersji od v1.0.324.900 do v1.4.0.117.
Wtyczka Divi Form Builder dla WordPressa do wersji 5.1.8 zawiera podatność na dowolne przesyłanie plików, prowadzącą do zdalnego wykonania kodu. Problem wynika z niewystarczającej walidacji rozszerzeń plików w funkcji do_image_upload(), gdzie parametr acceptFileTypes jest bezpośrednio wstawiany do wyrażenia regularnego. Atakujący może przesłać pliki z rozszerzeniami .phtml, .phar, .php5 lub .php7, omijając ochronę .htaccess blokującą tylko pliki .php.
Wtyczka WP Fast Total Search w wersji 1.80.280 i starszych zawiera podatność na nieuwierzytelnione wstrzyknięcie SQL. Atakujący bez logowania może wysyłać spreparowane zapytania do bazy danych.
W wersjach GeekyBot do 1.2.5 włącznie występuje podatność na nieuwierzytelnione wstrzyknięcie SQL. Osoba atakująca może zdalnie wykonać dowolne zapytania SQL bez konieczności logowania.
Wtyczka Novalnet Payment Gateway dla WooCommerce w wersji 12.10.3 i starszych zawiera podatność na nieuwierzytelnione wstrzykiwanie obiektów PHP. Atakujący może zdalnie wysłać spreparowane żądanie, co prowadzi do wykonania dowolnego kodu PHP na serwerze.
Wtyczka Admin and Site Enhancements (ASE) Pro w wersji 8.8.5 i starszych zawiera podatność na nieuwierzytelniony atak Cross Site Scripting (XSS). Atakujący może wstrzyknąć złośliwy skrypt bez konieczności logowania.
Wtyczka Blocksy Companion Pro w wersji 2.1.46 i starszych zawiera krytyczną podatność umożliwiającą nieuwierzytelnionemu atakującemu zdalne wykonanie kodu (RCE). Podatność ta wynika z braku odpowiedniego uwierzytelnienia w jednym z endpointów API.
Wtyczka W3 Total Cache w wersjach do 2.9.4 zawiera krytyczną podatność umożliwiającą nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnego kodu. Luka ta wynika z braku odpowiedniej walidacji danych wejściowych w mechanizmie buforowania.
Wtyczka Booktics w wersji 1.0.21 i starszych zawiera podatność na nieuwierzytelnione wstrzykiwanie obiektów PHP. Atakujący może zdalnie wstrzyknąć złośliwy obiekt PHP bez konieczności logowania.
Wtyczka Five Star Business Profile and Schema dla WordPressa w wersji 2.3.19 i starszych zawiera podatność umożliwiającą zdalne wykonanie dowolnego kodu przez edytor. Atakujący może wykorzystać tę lukę do przejęcia kontroli nad witryną.
Wtyczka Zegen w wersji 1.1.9 i starszych umożliwia subskrybentowi przesyłanie dowolnych plików na serwer. Podatność ta może zostać wykorzystana do wgrania złośliwego oprogramowania bez odpowiedniej autoryzacji.
Podatność typu path traversal w komponencie Git Service Altium Enterprise Server i Altium 365 umożliwia uwierzytelnionemu użytkownikowi z podstawowym dostępem do Gita przenoszenie dowolnych plików poza docelowy obszar repozytorium. Może to prowadzić do zdalnego wykonania kodu na koncie Git Service poprzez umieszczenie skryptów w katalogach wykonywanych przez usługę.
Podatność use-after-free w komponencie ANGLE przeglądarki Google Chrome przed wersją 150.0.7871.46 umożliwia zdalnemu atakującemu potencjalną ucieczkę z piaskownicy poprzez spreparowaną stronę HTML.

