Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2018-25393
Średnie

Navigate CMS w wersji 2.8.5 zawiera podatność na traversję ścieżki, która pozwala uwierzytelnionym użytkownikom na pobieranie dowolnych plików poprzez wstrzykiwanie sekwencji traversji w parametrze id. Atakujący mogą wysyłać żądania GET do navigate_download.php z ładunkami traversji, aby uzyskać dostęp do wrażliwych plików konfiguracyjnych i systemowych poza zamierzonym katalogiem.

CVE-2018-25387
Średnie

HaPe PKH w wersji 1.1 zawiera podatność na atak typu cross-site request forgery (CSRF), która umożliwia atakującym zmianę haseł administratorów poprzez wysyłanie sfałszowanych żądań do punktu aktualizacji użytkownika. Atakujący mogą tworzyć złośliwe formularze, które celują w skrypt aksi_user.php z parametrami takimi jak id_user, hasło i poziom, aby modyfikować dane logowania administratorów bez autoryzacji.

CVE-2018-25384
Średnie

Wikidforum w wersji 2.20 zawiera podatność na atak typu cross-site scripting (XSS), która pozwala uwierzytelnionym atakującym na wstrzykiwanie złośliwych skryptów poprzez przesyłanie spreparowanego HTML w parametrze reply_text.

CVE-2026-41159
Średnie

Podatność w narzędziu Mermaid (wersje przed 10.9.6 i 11.15.0) umożliwia wstrzykiwanie CSS poza zakres diagramu poprzez opcje konfiguracyjne fontFamily, themeCSS i altFontFamily. Wstrzyknięty CSS wykorzystuje mechanizm stylis do ominięcia automatycznego zakresowania, co pozwala na modyfikację wyglądu strony i kradzież atrybutów DOM za pomocą selektorów CSS :has().

CVE-2026-41150
Średnie

Mermaid to narzędzie JavaScript, które wykorzystuje tekst inspirowany Markdownem do tworzenia i modyfikowania diagramów oraz wykresów. W wersjach przed 10.9.6 i 11.15.0 występuje atak typu denial-of-service podczas renderowania wykresów Gantt'a, jeśli użyto atrybutu excludes do wykluczenia wszystkich dat.

CVE-2026-49325
Średnie

Podatność w motocyklu Indian Motorcycle Scout Bobber + Tech (model 2025) umożliwia fizycznemu atakującemu z dostępem do wiązki przewodów modułu WCM ominięcie blokady antykradzieżowej. Moduł WCM wysyła sygnał wyłączenia do innego sterownika poprzez zmianę napięcia na dedykowanej parze przewodów, ale odbiornik nie odróżnia aktywnego impulsu wyłączenia od stanu rozwarcia/odłączenia obwodu. Przerwanie odpowiednich przewodów pozostawia motocykl w pełni sprawnym, nawet jeśli WCM nie zweryfikował kodu PIN użytkownika.

CVE-2026-49316
Średnie

Podatność w sieci wewnętrznej motocykla Indian Motorcycle Scout Bobber + Tech (model 2025) umożliwia atakującemu z sąsiedniej sieci ominięcie blokady antykradzieżowej poprzez zmuszenie modułu WCM do przejścia w stan CAN bus-off. Atak wykorzystuje technikę wstrzykiwania ramek błędów CAN, co powoduje zatrzymanie transmisji wszystkich komunikatów przez WCM, w tym komendy wyłączenia silnika. Pozostałe moduły nie interpretują braku transmisji jako zdarzenia bezpieczeństwa i kontynuują normalną pracę, umożliwiając uruchomienie motocykla bez odblokowania immobilizera.

CVE-2026-47696
Średnie

AVideo to otwartoźródłowa platforma wideo, w wersji 29.0 i wcześniejszych, zawiera lukę w pliku processPayment.json.php, która umożliwia atakującym dodawanie dowolnych środków do portfela zalogowanego użytkownika. Problem wynika z braku walidacji transakcji Authorize.Net oraz hardcodowania sukcesu płatności.

CVE-2026-47694
Średnie

WWBN AVideo to otwarta platforma wideo, która w wersji 29.0 i wcześniejszych przechowuje opisy kategorii z danych wejściowych użytkowników i renderuje je jako surowy HTML w widoku galerii. Użytkownik, który może tworzyć lub edytować kategorie, może wprowadzić JavaScript w opisie kategorii, co skutkuje jego wykonaniem, gdy inny użytkownik przegląda stronę galerii/kategorii.

CVE-2026-46337
Średnie

WWBN AVideo to otwartoźródłowa platforma wideo. W wersji 29.0 i wcześniejszych, nieautoryzowany zdalny atakujący może odczytać dowolne pliki graficzne na dysku, które użytkownik PHP może otworzyć, w tym prywatne zdjęcia profili użytkowników oraz miniatury przesyłane przez administratorów.

CVE-2026-45731
Średnie

WWBN AVideo to otwartoźródłowa platforma wideo. W wersji 29.0 i wcześniejszych, plik view/update.php odczytuje $_POST['updateFile'] jako ścieżkę względną w katalogu updatedb/ i przekazuje ją do funkcji file() w PHP, co umożliwia wykonanie jej linia po linii w ramach migracji bazy danych.

CVE-2026-45620
Średnie

WWBN AVideo to otwarta platforma wideo. W wersjach 29.0 i wcześniejszych plik objects/mention.json.php nie zawiera mechanizmu sprawdzania logowania użytkownika ani zabezpieczeń administracyjnych, co umożliwia nieautoryzowaną enumerację użytkowników.

CVE-2026-45619
Średnie

WWBN AVideo to otwartoźródłowa platforma wideo. W wersji 29.0 i wcześniejszych, pliki EpgParser.php, plugin/AI/receiveAsync.json.php oraz inne miejsca nie wykorzystują parametru wyjściowego $resolvedIP funkcji isSSRFSafeURL() do pinowania DNS za pomocą CURLOPT_RESOLVE, co otwiera możliwość ataku DNS-rebinding TOCTOU.

CVE-2026-45610
Średnie

AVideo to otwartoźródłowa platforma wideo, która w wersji 29.0 i wcześniejszych ma podatność na atak typu cross-site request forgery (CSRF) w funkcji przełączania 2FA. Wtyczka plugin/LoginControl/set.json.php akceptuje żądania POST typu set2FA z wartością false, co pozwala na wyłączenie 2FA dla zalogowanego użytkownika bez odpowiednich zabezpieczeń.

CVE-2026-45582
Średnie

n8n-MCP to serwer MCP, który umożliwia asystentom AI dostęp do dokumentacji, właściwości i operacji węzłów n8n. Przed wersją 2.51.3, sanitarz telemetrii workflow mógł zachować częściowe fragmenty parametrów węzłów w formacie URL przed wysłaniem danych workflow do anonimowego backendu telemetrii projektu.

CVE-2026-45580
Średnie

AVideo to otwartoźródłowa platforma wideo, która w wersji 29.0 i wcześniejszych ma podatność na przechowywane ataki typu cross-site scripting. Wtyczka Live renderuje klucz strumienia transmisji na stronie HTML bez odpowiedniego zabezpieczenia, co pozwala na wykonanie złośliwego kodu JavaScript przez odwiedzających stronę.

CVE-2026-10075
Średnie

DreamMaker opracowany przez Interinfo ma podatność na przejście ścieżki, która pozwala nieautoryzowanym zdalnym atakującym na odczyt nazw plików w dowolnej ścieżce, wykorzystując podatność na absolutne przejście ścieżki.

CVE-2026-10074
Średnie

DreamMaker opracowany przez Interinfo ma podatność na odczyt dowolnych plików, która pozwala uprzywilejowanym lokalnym atakującym wykorzystać przejście przez względną ścieżkę do pobrania dowolnych plików systemowych.

CVE-2026-10061
Średnie

Wykryto podatność w TRENDnet TEW-432BRP 3.10B20, która dotyczy funkcji formWPS w pliku /goform/formWPS. Manipulacja argumentem peerPin prowadzi do wstrzyknięcia poleceń, co umożliwia zdalne przeprowadzenie ataku.

CVE-2026-10060
Średnie

Wykryto podatność w urządzeniu TRENDnet TEW-432BRP 3.10B20, która dotyczy funkcji formSetRoute w pliku /goform/formSetRoute. Manipulacja argumentami ip/mask/gateway prowadzi do możliwości wstrzyknięcia poleceń, co umożliwia zdalne wykorzystanie tej podatności.

PoprzedniaStrona 203 z 560Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS