Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-49324
Średnie

Podatność w module kontroli bezprzewodowej (WCM) motocykla Indian Motorcycle Scout Bobber + Tech 2025 umożliwia atakującemu z sąsiedniej sieci, posiadającemu dostęp do zapisu w sieci pojazdu, trwałe unieruchomienie motocykla. Mechanizm blokady przed atakami brute-force na algorytm uwierzytelniania immobilizera jest podatny na manipulację, ponieważ licznik blokad jest osiągalny przez każdą nieuwierzytelnioną wiadomość, nie jest powiązany z sesją i nie resetuje się po cyklu zasilania. Atakujący może celowo wywołać blokadę za pomocą niewielkiej liczby spreparowanych ramek, uniemożliwiając uruchomienie motocykla do czasu serwisu dealerskiego.

CVE-2026-49323
Średnie

Słabe uwierzytelnianie między modułem sterowania bezprzewodowego (WCM) a modułem sterowania silnikiem (ECM) w motocyklu Indian Motorcycle Scout Bobber + Tech z 2025 roku pozwala atakującemu w sąsiedniej sieci, mającemu dostęp do odczytu sieci pojazdu, na odzyskanie tajnego klucza immobilizera ECM poprzez bierne obserwowanie pojedynczej wymiany seed/key. WCM używa odwracalnej, niekryptograficznej operacji zamiast kryptograficznego wyzwania-odpowiedzi, co umożliwia odtworzenie trwałego sekretu immobilizera z jednej przechwyconej wymiany.

CVE-2026-45551
Średnie

GroupOffice, narzędzie do zarządzania relacjami z klientami i grupowe, przed wersjami 26.0.25, 25.0.100 i 6.8.165, pozwala uwierzytelnionym użytkownikom na trwałe zapisanie dowolnych ustawień dla każdego identyfikatora użytkownika. W połączeniu z problemem w module e-mail, niskoprawni użytkownicy mogą nadpisać ustawienie czcionki e-mail administratora, co prowadzi do ataku XSS.

CVE-2026-9811
Średnie

W Mautic 7 występuje podatność typu Cross-Site Scripting (XSS) w komponencie selektora projektów. Aplikacja nie sanitizuje nazw projektów zwracanych przez AJAX, co pozwala na wstrzyknięcie złośliwego skryptu do DOM.

CVE-2026-9557
Średnie

W komponencie Focus Mautic występuje podatność typu Server-Side Request Forgery (SSRF). Z powodu niewystarczającej walidacji adresów URL dostarczonych przez użytkowników, uwierzytelniony użytkownik może wywołać wychodzące żądania HTTP z serwera hostingowego.

CVE-2025-12714
Średnie

Wtyczka Rank Math SEO – AI SEO Tools to Dominate SEO Rankings dla WordPress jest podatna na nieautoryzowany dostęp z powodu braku sprawdzenia uprawnień w funkcji update_site_editor_homepage we wszystkich wersjach do 1.0.271 włącznie. Umożliwia to nieautoryzowanym atakującym modyfikację ustawień wtyczki, co może poważnie wpłynąć na pozycjonowanie SEO.

CVE-2026-9189
Średnie

Wtyczka Contact Form 7 – PayPal & Stripe Add-on dla WordPressa jest podatna na obejście płatności z powodu niewystarczającej weryfikacji autentyczności danych we wszystkich wersjach do 2.4.9 włącznie. Funkcja `cf7pp_paypal_ipn_handler()` poprawnie weryfikuje autentyczność IPN, ale nie porównuje kluczowych pól z danymi zamówienia, co pozwala atakującym na oznaczanie zamówień jako opłacone bez odpowiedniej weryfikacji.

CVE-2026-49198
Średnie

Nieprawidłowa kontrola dostępu w brokerze MQTT umożliwia subskrypcje tematów z użyciem symboli wieloznacznych, co naraża cały ruch MQTT na dostęp nieautoryzowanych podmiotów.

CVE-2026-10058
Średnie

System SCADA Intelligent opracowany przez ITP Technology ma podatność na przechowywane Cross-Site Scripting, która pozwala zdalnym atakującym z uprawnieniami na wstrzykiwanie trwałych kodów JavaScript, które są wykonywane w przeglądarkach użytkowników po załadowaniu strony.

CVE-2026-10057
Średnie

System SCADA Intelligent opracowany przez ITP Technology zawiera podatność na przechowywane ataki Cross-Site Scripting (XSS), która umożliwia zdalnym atakującym z uprawnieniami wstrzykiwanie trwałych kodów JavaScript. Kody te są wykonywane w przeglądarkach użytkowników po załadowaniu strony.

CVE-2026-10052
Średnie

W narzędziu konfiguracyjnym Quay znaleziono lukę w funkcjach walidacji LDAP i SMTP. Atakujący z dostępem do edytora konfiguracji może wykorzystać te funkcje, które nawiązują połączenia wychodzące do dostarczonych przez użytkownika punktów końcowych bez odpowiedniego filtrowania IP lub hosta.

CVE-2026-10039
Średnie

Wtyczka Frontend Admin autorstwa DynamiApps dla WordPressa jest podatna na ogólną injekcję SQL poprzez parametr 'order' we wszystkich wersjach do 3.28.28 włącznie, z powodu niewystarczającego zabezpieczenia dostarczonego przez użytkownika oraz braku odpowiedniego przygotowania istniejącego zapytania SQL. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie administratora i wyżej dodawanie dodatkowych zapytań SQL do już istniejących zapytań.

CVE-2026-9243
Średnie

Wtyczka Plus Addons dla Elementora w WordPressie jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez parametr 'carousel_direction' w widżecie Carousel Anything w wersjach do 6.4.15 włącznie. Problem wynika z niewystarczającego zabezpieczenia wyjścia w funkcji render(), gdzie wartość carousel_direction jest umieszczana w niecytowanym atrybucie HTML (dir=), co pozwala na wstrzykiwanie atrybutów mimo użycia esc_attr().

CVE-2026-49322
Średnie

Podatność w module bezprzewodowej kontroli (WCM) motocykla Indian Motorcycle Scout Bobber + Tech z 2025 roku umożliwia atakującemu z sąsiedniej sieci, posiadającemu dostęp do odczytu sieci wewnątrz pojazdu, odzyskanie kodu PIN ustawionego przez użytkownika poprzez bierne obserwowanie pojedynczej wymiany uwierzytelniania PIN. Wyświetlacz Infotainment Digital Round oblicza swoją odpowiedź przy użyciu niekryptograficznej operacji zamiast kryptograficznego wyzwania-odpowiedzi, przez co PIN jest matematycznie wyprowadzalny z jednej przechwyconej wymiany, co omija główną kontrolę uwierzytelniania użytkownika motocykla.

CVE-2026-9714
Średnie

Wtyczka Simple Divi Shortcode dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez parametr 'id' shortcode'a [showmodule] w wersjach do 1.2 włącznie. Problem wynika z niewystarczającej sanitizacji wejścia i ucieczki wyjścia w funkcji showmodule_shortcode(), co pozwala atakującym na wstrzykiwanie dowolnych skryptów HTML.

CVE-2026-9493
Średnie

Usługa Service Center opracowana przez BankPro E-Service Technology zawiera podatność na niebezpieczne bezpośrednie odniesienie do obiektu, co pozwala uwierzytelnionym zdalnym atakującym na modyfikację parametru konkretnej funkcji zapytania w celu uzyskania dostępu do szczegółów zamówień EC innych użytkowników.

CVE-2026-6324
Średnie

W libsoup znaleziono lukę, która pozwala zdalnemu atakującemu wykorzystać błąd konwersji z niezabezpieczonego na zabezpieczony w funkcji `soup_body_input_stream_read_chunked()`. Luka ta występuje, gdy libsoup działa za serwerem proxy, który nie jest libsoup lub jako proxy przed backendem, który również nie jest libsoup.

CVE-2026-6275
Średnie

Wtyczka StatCounter – Free Real Time Visitor Stats dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting w wersjach do 2.1.1 włącznie. Problem wynika z niewystarczającego zabezpieczenia danych wyjściowych w funkcji statcounter_addToTags(), która wywołuje nazwisko autora posta bez odpowiedniego przetwarzania.

CVE-2025-14042
Średnie

Motoryzacyjny motyw WordPress dla dealerów samochodowych jest podatny na przechowywane ataki Cross-Site Scripting (XSS) poprzez niestandardowe pole 'Project Details' w elementach portfolio w wersjach do 13.4.1 włącznie. Problem wynika z niewystarczającej sanitizacji wejścia i ucieczki wyjścia dla atrybutów dostarczanych przez użytkowników.

CVE-2026-2128
Średnie

Wtyczka Breeze dla WordPressa jest podatna na ujawnienie wrażliwych informacji osobom nieuprawnionym we wszystkich wersjach do i włącznie z 2.5.2. Problem wynika z niewłaściwej weryfikacji ciasteczka `wordpress_logged_in_` w pliku `inc/cache/execute-cache.php`, gdy włączona jest opcja 'Cache Logged-in Users'.

PoprzedniaStrona 204 z 560Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS