Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-55116
Krytyczne

Podatność w systemie UniFi OS umożliwia nieautoryzowanym zmianom na urządzeniach przez atakującego z dostępem do sieci, przy określonych konfiguracjach sieciowych. Luka wynika z nieprawidłowej kontroli dostępu.

CVE-2026-55115
Krytyczne

Podatność SSRF w aplikacji UniFi Protect umożliwia atakującemu z dostępem do sieci i niskimi uprawnieniami eskalację uprawnień na urządzeniu hosta.

CVE-2026-54402
Krytyczne

Podatność w systemie UniFi OS umożliwia atakującemu z dostępem do sieci i niskimi uprawnieniami wykonanie wstrzyknięcia poleceń na urządzeniu poprzez niewłaściwą walidację danych wejściowych.

CVE-2026-54400
Krytyczne

Podatność w aplikacji UniFi Access umożliwia eskalację uprawnień na urządzeniu hosta. Osoba atakująca z dostępem do sieci i wysokimi uprawnieniami może wykorzystać niewłaściwą kontrolę dostępu.

CVE-2026-50748
Krytyczne

Podatność w aplikacji UniFi Access umożliwia atakującemu z dostępem do sieci i niskimi uprawnieniami wykonanie wstrzyknięcia poleceń na urządzeniu hosta z powodu nieprawidłowej walidacji danych wejściowych.

CVE-2026-50747
Krytyczne

Podatność SQL Injection w aplikacji UniFi Talk umożliwia uwierzytelnionemu atakującemu z dostępem sieciowym i niskimi uprawnieniami eskalację uprawnień na urządzeniu hosta.

CVE-2026-50746
Krytyczne

Podatność w aplikacji UniFi Connect umożliwia atakującemu z dostępem do sieci wykonanie wstrzyknięcia poleceń na urządzeniu hosta z powodu nieprawidłowej kontroli dostępu.

CVE-2026-4767
Krytyczne

Brak uwierzytelniania dla krytycznej funkcji w WAF-ASP firmy TR7 Cyber Defense Inc. umożliwia nadużycie uwierzytelniania. Podatność dotyczy wersji od v1.0.324.900 do v1.4.0.117.

CVE-2026-5524
Krytyczne

Wtyczka Divi Form Builder dla WordPressa do wersji 5.1.8 zawiera podatność na dowolne przesyłanie plików, prowadzącą do zdalnego wykonania kodu. Problem wynika z niewystarczającej walidacji rozszerzeń plików w funkcji do_image_upload(), gdzie parametr acceptFileTypes jest bezpośrednio wstawiany do wyrażenia regularnego. Atakujący może przesłać pliki z rozszerzeniami .phtml, .phar, .php5 lub .php7, omijając ochronę .htaccess blokującą tylko pliki .php.

CVE-2026-57683
Krytyczne

Wtyczka WP Fast Total Search w wersji 1.80.280 i starszych zawiera podatność na nieuwierzytelnione wstrzyknięcie SQL. Atakujący bez logowania może wysyłać spreparowane zapytania do bazy danych.

CVE-2026-57679
Krytyczne

W wersjach GeekyBot do 1.2.5 włącznie występuje podatność na nieuwierzytelnione wstrzyknięcie SQL. Osoba atakująca może zdalnie wykonać dowolne zapytania SQL bez konieczności logowania.

CVE-2026-57677
Krytyczne

Wtyczka Novalnet Payment Gateway dla WooCommerce w wersji 12.10.3 i starszych zawiera podatność na nieuwierzytelnione wstrzykiwanie obiektów PHP. Atakujący może zdalnie wysłać spreparowane żądanie, co prowadzi do wykonania dowolnego kodu PHP na serwerze.

CVE-2026-57625
Krytyczne

Wtyczka Admin and Site Enhancements (ASE) Pro w wersji 8.8.5 i starszych zawiera podatność na nieuwierzytelniony atak Cross Site Scripting (XSS). Atakujący może wstrzyknąć złośliwy skrypt bez konieczności logowania.

CVE-2026-57624
Krytyczne

Wtyczka Blocksy Companion Pro w wersji 2.1.46 i starszych zawiera krytyczną podatność umożliwiającą nieuwierzytelnionemu atakującemu zdalne wykonanie kodu (RCE). Podatność ta wynika z braku odpowiedniego uwierzytelnienia w jednym z endpointów API.

CVE-2026-57623
Krytyczne

Wtyczka W3 Total Cache w wersjach do 2.9.4 zawiera krytyczną podatność umożliwiającą nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnego kodu. Luka ta wynika z braku odpowiedniej walidacji danych wejściowych w mechanizmie buforowania.

CVE-2026-57621
Krytyczne

Wtyczka Booktics w wersji 1.0.21 i starszych zawiera podatność na nieuwierzytelnione wstrzykiwanie obiektów PHP. Atakujący może zdalnie wstrzyknąć złośliwy obiekt PHP bez konieczności logowania.

CVE-2026-27436
Krytyczne

Wtyczka Five Star Business Profile and Schema dla WordPressa w wersji 2.3.19 i starszych zawiera podatność umożliwiającą zdalne wykonanie dowolnego kodu przez edytor. Atakujący może wykorzystać tę lukę do przejęcia kontroli nad witryną.

CVE-2026-27419
Krytyczne

Wtyczka Zegen w wersji 1.1.9 i starszych umożliwia subskrybentowi przesyłanie dowolnych plików na serwer. Podatność ta może zostać wykorzystana do wgrania złośliwego oprogramowania bez odpowiedniej autoryzacji.

CVE-2026-14439
Krytyczne

Podatność typu path traversal w komponencie Git Service Altium Enterprise Server i Altium 365 umożliwia uwierzytelnionemu użytkownikowi z podstawowym dostępem do Gita przenoszenie dowolnych plików poza docelowy obszar repozytorium. Może to prowadzić do zdalnego wykonania kodu na koncie Git Service poprzez umieszczenie skryptów w katalogach wykonywanych przez usługę.

CVE-2026-14425
Krytyczne

Podatność use-after-free w komponencie ANGLE przeglądarki Google Chrome przed wersją 150.0.7871.46 umożliwia zdalnemu atakującemu potencjalną ucieczkę z piaskownicy poprzez spreparowaną stronę HTML.

PoprzedniaStrona 2 z 533Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS