Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-12166
Średnie

W sterowniku `GFAC_Sys_x64.sys` firmy Little Orbit GFAC wykryto podatność polegającą na dereferencji wskaźnika NULL. Lokalny atakujący może wykorzystać spreparowane żądania, powodując awarię systemu i odmowę usługi (DoS).

CVE-2026-4767
Krytyczne

Brak uwierzytelniania dla krytycznej funkcji w WAF-ASP firmy TR7 Cyber Defense Inc. umożliwia nadużycie uwierzytelniania. Podatność dotyczy wersji od v1.0.324.900 do v1.4.0.117.

CVE-2026-5524
Krytyczne

Wtyczka Divi Form Builder dla WordPressa do wersji 5.1.8 zawiera podatność na dowolne przesyłanie plików, prowadzącą do zdalnego wykonania kodu. Problem wynika z niewystarczającej walidacji rozszerzeń plików w funkcji do_image_upload(), gdzie parametr acceptFileTypes jest bezpośrednio wstawiany do wyrażenia regularnego. Atakujący może przesłać pliki z rozszerzeniami .phtml, .phar, .php5 lub .php7, omijając ochronę .htaccess blokującą tylko pliki .php.

CVE-2026-58653
Średnie

PraisonAI przed wersją 0.1.7 nie weryfikuje, czy identyfikator projektu (project_id) w żądaniach tworzenia i aktualizacji zgłoszeń należy do obszaru roboczego (workspace) wskazanego w URL. Atakujący może tworzyć zgłoszenia odnoszące się do projektów z innych obszarów roboczych, powodując zanieczyszczenie danych między dzierżawcami w agregacji statystyk projektów bez ograniczeń obszaru roboczego.

CVE-2026-58652
Wysokie

Podatność w luci-app-travelmate i pakiecie travelmate umożliwia eskalację uprawnień. Posiadacz sesji z uprawnieniami do zapisu UCI może ustawić dowolny skrypt i argumenty, które zostaną wykonane jako root przez usługę travelmate. Ograniczenie interfejsu do katalogu /etc/travelmate/*.login jest tylko frontendowe.

CVE-2026-4772
Średnie

W produkcie WAF-ASP firmy TR7 Cyber Defense Inc. wykryto podatność na trwałe ataki XSS (Cross-Site Scripting) spowodowaną niewłaściwą neutralizacją danych wejściowych podczas generowania strony internetowej. Problem dotyczy wersji od v1.0.324.900 do v1.4.0.117.

CVE-2026-4770
Średnie

W Web Application Firewall firmy TR7 Cyber Defense Inc. wykryto podatność na atak typu DOM-Based XSS, wynikającą z nieprawidłowej neutralizacji danych wejściowych podczas generowania strony. Problem dotyczy wersji od 1.0.42.239 do 1.4.0.117.

CVE-2026-57766
Wysokie

Wtyczka WPIDE – File Manager & Code Editor w wersji 3.5.6 i starszych zawiera podatność na nieuwierzytelnione fałszerstwo żądania międzywitrynowego (CSRF). Atakujący może wykorzystać tę lukę do wykonania nieautoryzowanych działań w kontekście administratora witryny.

CVE-2026-57765
Wysokie

Wtyczka WP EasyCart dla WordPressa w wersji 5.9.0 i starszych zawiera podatność na wstrzykiwanie SQL przez atrybut 'contributor'. Umożliwia to atakującemu manipulację zapytaniami do bazy danych.

CVE-2026-57764
Średnie

Wtyczka Surbma | Yoast SEO Breadcrumb Shortcode w wersji 1.2 i starszych zawiera podatność na atak Cross Site Scripting (XSS) ze strony współtwórców. Umożliwia ona wstrzyknięcie złośliwego kodu JavaScript do strony przez nieautoryzowanego użytkownika.

CVE-2026-57763
Średnie

Wtyczka Structured Content w wersji 1.7.0 i starszych zawiera podatność na atak Cross Site Scripting (XSS) w funkcji Contributor. Umożliwia to atakującemu wstrzyknięcie złośliwego kodu JavaScript do strony.

CVE-2026-57762
Średnie

Wtyczka Simple URLs dla WordPressa w wersji 151 i wcześniejszych zawiera podatność na atak Cross Site Scripting (XSS) typu Author Stored. Oznacza to, że autor może wstrzyknąć złośliwy skrypt, który zostanie wykonany w przeglądarce administratora lub innego użytkownika.

CVE-2026-57761
Wysokie

Wtyczka SEOWP w wersji 3.12.2 i starszych zawiera podatność na nieuwierzytelnione fałszerstwo żądania międzywitrynowego (CSRF). Atakujący może nakłonić administratora do wykonania niezamierzonych działań bez jego wiedzy.

CVE-2026-57760
Średnie

Wtyczka Sendcloud Shipping dla WordPressa zawiera brak autoryzacji, co pozwala na wykorzystanie nieprawidłowo skonfigurowanych poziomów kontroli dostępu. Podatność dotyczy wersji od n/a do 1.0.29.

CVE-2026-57759
Wysokie

Wtyczka ProfileGrid w wersji 5.9.9.7 i starszych zawiera podatność na nieuwierzytelnione fałszerstwo żądania międzywitrynowego (CSRF). Atakujący może nakłonić zalogowanego administratora do wykonania niepożądanych działań bez jego wiedzy.

CVE-2026-57758
Wysokie

Wtyczka Permalink Manager dla WooCommerce w wersji 1.0.8.2 i starszych zawiera podatność na fałszerstwo żądania międzywitrynowego (CSRF) bez wymaganego uwierzytelnienia. Atakujący może nakłonić zalogowanego administratora do wykonania niepożądanych działań bez jego wiedzy.

CVE-2026-57757
Wysokie

Wtyczka pCloud WP Backup w wersji 2.0.2 i starszych zawiera podatność na fałszowanie żądań międzywitrynowych (CSRF) bez wymaganego uwierzytelnienia. Atakujący może nakłonić administratora do wykonania niezamierzonych działań w panelu administracyjnym WordPressa.

CVE-2026-57756
Wysokie

Wtyczka nicen-localize-image w wersji 1.4.9 i starszych zawiera podatność na wstrzykiwanie SQL w komponencie Contributor. Umożliwia to atakującemu manipulację zapytaniami do bazy danych.

CVE-2026-57755
Średnie

Wtyczka Mosaic Gallery – Advanced Gallery w wersji 1.2.0 i starszych zawiera podatność na atak Cross Site Scripting (XSS) w funkcji Contributor. Umożliwia ona atakującemu wstrzyknięcie złośliwego kodu JavaScript do strony.

CVE-2026-57754
Średnie

Wtyczka Livemesh Addons dla WPBakery Page Builder w wersji 3.9.4 i starszych zawiera podatność na atak Cross Site Scripting (XSS) w funkcjonalności Contributor. Umożliwia to atakującemu wstrzyknięcie złośliwego kodu JavaScript do strony.

PoprzedniaStrona 21 z 4476Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS