Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.13)
PodcastGenerator w wersji 3.2.9 zawiera podatność na ślepą serwerową fałszywą prośbę (SSRF), która umożliwia atakującym wstrzykiwanie XML w formularzu przesyłania odcinka. Atakujący mogą manipulować parametrem 'shortdesc', aby wywołać zewnętrzne żądania HTTP do dowolnych punktów końcowych podczas tworzenia odcinka podcastu.
Podatność w Blue Mail 1.140.103 i wcześniejszych wersjach powoduje, że podczas korzystania z funkcji interakcji z załącznikami dokumenty są zapisywane w systemie plików bez znacznika Mark-of-the-Web. Umożliwia to atakującym ominięcie wbudowanych mechanizmów ochrony plików systemu Windows oraz oprogramowania firm trzecich.
Podatność w Canary Mail 5.1.40 i wcześniejszych wersjach powoduje, że podczas interakcji z załącznikami dokumenty są zapisywane bez znacznika Mark-of-the-Web. Umożliwia to atakującym ominięcie wbudowanych mechanizmów ochrony plików systemu Windows oraz oprogramowania firm trzecich.
W OpenShift GitOps znaleziono lukę, która pozwala administratorom przestrzeni nazw na tworzenie niestandardowych zasobów ArgoCD, co może prowadzić do przyznania podwyższonych uprawnień w innych przestrzeniach nazw, w tym w przestrzeniach uprzywilejowanych. Uwierzytelniony atakujący może wykorzystać te uprawnienia do tworzenia uprzywilejowanych obciążeń działających na węzłach głównych, co skutkuje dostępem root do całego klastra.
Wtyczka Fox LMS – WordPress LMS Plugin dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do 1.0.5.1 włącznie. Problem wynika z niewłaściwej walidacji parametru 'role' podczas tworzenia nowych użytkowników przez punkt końcowy REST API `/fox-lms/v1/payments/create-order`.
W urządzeniu Tenda WH450 w wersji 1.0.0.18 odkryto lukę bezpieczeństwa w nieznanej funkcji pliku /goform/DhcpListClient komponentu obsługi żądań HTTP. Manipulacja argumentem 'page' prowadzi do przepełnienia bufora na stosie.
Wtyczka JAY Login & Register dla WordPressa jest podatna na obejście uwierzytelniania w wersjach do 2.4.01 włącznie. Problem wynika z nieprawidłowego sprawdzania uwierzytelnienia w funkcji 'jay_login_register_process_switch_back' z wartością ciasteczka 'jay_login_register_process_switch_back'.
Wtyczka Export WP Page to Static HTML & PDF dla WordPressa jest podatna na ujawnienie wrażliwych informacji we wszystkich wersjach do 4.3.4 włącznie, poprzez publicznie dostępne pliki cookies.txt zawierające ciasteczka uwierzytelniające. Umożliwia to nieautoryzowanym atakującym dostęp do ciasteczek, które mogły zostać wstrzyknięte do pliku dziennika, jeśli administrator strony uruchomił kopię zapasową przy użyciu określonej roli użytkownika, takiej jak 'administrator'.
Wtyczka URL Shortener dla WordPressa jest podatna na atak typu SQL Injection poprzez parametr 'analytic_id' we wszystkich wersjach do 3.0.7 włącznie. Problem wynika z niewystarczającego zabezpieczenia parametru dostarczonego przez użytkownika oraz braku odpowiedniego przygotowania istniejącego zapytania SQL.
System Dormakaba Saflok 6000 zawiera przewidywalny algorytm generowania kluczy, który umożliwia atakującym wyprowadzenie kluczy dostępu do kart na podstawie 32-bitowego unikalnego identyfikatora. Atakujący mogą wykorzystać deterministyczny proces generowania kluczy, obliczając ważne klucze dostępu za pomocą prostej transformacji matematycznej unikalnego identyfikatora karty.
Serwer FTP PCMan w wersji 2.0 zawiera podatność na przepełnienie bufora w komendzie 'pwd', co umożliwia zdalnym atakującym wykonanie dowolnego kodu. Atakujący mogą wysłać specjalnie przygotowany ładunek podczas procesu logowania FTP, aby nadpisać pamięć i potencjalnie uzyskać dostęp do systemu.
Typora w wersji 1.7.4 zawiera podatność na wstrzykiwanie poleceń w preferencjach eksportu PDF, co pozwala atakującym na wykonywanie dowolnych poleceń systemowych. Atakujący mogą wstrzykiwać złośliwe polecenia w polu 'uruchom polecenie' podczas eksportu PDF, co prowadzi do zdalnego wykonania kodu.
Podatność w funkcji zaplanowanych zadań MineAdmin v3.x wynika z nieprawidłowych uprawnień, co umożliwia atakującym wykonanie dowolnych poleceń i całkowite przejęcie konta.
Wtyczka Multi Uploader dla Gravity Forms w WordPressie jest podatna na nieautoryzowane usuwanie plików z powodu niewystarczającej walidacji ścieżek plików w funkcji 'plupload_ajax_delete_file' we wszystkich wersjach do 1.1.7 włącznie. Umożliwia to nieautoryzowanym atakującym usuwanie dowolnych plików na serwerze.
Wtyczka LazyTasks – Zarządzanie projektami i zadaniami z współpracą, Kanban i wykresami Gantta dla WordPressa jest podatna na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do i włącznie z 1.2.29. Problem wynika z niewłaściwej walidacji tożsamości użytkownika przez punkt końcowy REST API 'wp-json/lazytasks/api/v1/user/role/edit/'.
Wtyczka WP CarDealer dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do i włącznie z 1.2.16. Problem wynika z funkcji 'WP_CarDealer_User::process_register', która nie ogranicza ról użytkowników, z jakimi można się rejestrować.
Cybersecurity AI (CAI) to otwarte oprogramowanie do budowania i wdrażania automatyzacji opartej na sztucznej inteligencji. Wersje 0.5.9 i wcześniejsze są podatne na wstrzyknięcie poleceń przez funkcję run_ssh_command_with_credentials(), która jest dostępna dla agentów AI, ponieważ wartości nazwy użytkownika, hosta i portu są podatne na wstrzyknięcia.
Neuron to framework PHP do tworzenia i orkiestracji agentów AI. W wersjach 2.8.11 i niższych, MySQLWriteTool wykonuje dowolne zapytania SQL dostarczone przez wywołującego, co może prowadzić do niebezpiecznych operacji na bazie danych.
Złośliwy użytkownik może uzyskać dostęp do informacji konfiguracyjnych kamery, w tym danych logowania, bez konieczności uwierzytelnienia, gdy uzyskuje dostęp do podatnego adresu URL.
W funkcjonalności punktu dostępowego EZCast Pro II przed wersją 1.17478.177 występuje przewidywalne domyślne hasło Wi-Fi, co umożliwia atakującym w zasięgu Wi-Fi uzyskanie dostępu do urządzenia poprzez obliczenie domyślnego hasła na podstawie widocznych identyfikatorów urządzenia.

