Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-56142
Krytyczne

W JetBrains Hub przed wersjami 2026.1.13757, 2025.3.148033, 2025.2.148048, 2025.1.148120, 2024.3.148430 i 2024.2.148429 istniała podatność umożliwiająca eskalację uprawnień poprzez dołączanie szczegółów uwierzytelniania do kont.

CVE-2026-56141
Krytyczne

W JetBrains Hub przed wersjami 2026.1.13757, 2025.3.148033, 2025.2.148048, 2025.1.148120, 2024.3.148430 i 2024.2.148429 możliwe było przejęcie konta poprzez przewidywalne kody przywracania.

CVE-2026-50242
Krytyczne

W JetBrains Hub przed wersjami 2026.1.13757, 2025.3.148033, 2025.2.148048, 2025.1.148120, 2024.3.148430 i 2024.2.148429 możliwe było ominięcie uwierzytelniania poprzez bezpośredni dostęp do bazy danych, co prowadziło do uzyskania dostępu administracyjnego.

CVE-2026-44939
KrytyczneEPSS 62%

W podatności CVE-2026-44939 występuje możliwość wstrzyknięcia poleceń w interfejsie importu Rancher Manager przed wersją 2.14.2, co może prowadzić do wykonania złośliwych kontenerów.

CVE-2026-8713
Krytyczne

Wtyczka Avada (Fusion) Builder dla WordPressa jest podatna na usuwanie dowolnych plików z powodu niewystarczającej walidacji ścieżek plików w funkcji maybe_delete_files we wszystkich wersjach do 3.15.3 włącznie. Atakujący bez uwierzytelnienia może usunąć dowolne pliki na serwerze, co może prowadzić do zdalnego wykonania kodu.

CVE-2026-7515
KrytyczneEPSS 55%

Wtyczka BetterDocs Pro dla WordPressa jest podatna na atak Local File Inclusion w wersjach do 3.8.0 włącznie, poprzez parametr `doc_style`. Umożliwia to nieautoryzowanym atakującym dołączanie i wykonywanie dowolnych plików .php na serwerze.

CVE-2026-54414
Krytyczne

FileRise w wersjach przed 3.16.0 jest podatny na atak typu path traversal w punkcie końcowym przesyłania do folderu udostępnionego, co prowadzi do możliwości zapisu dowolnych plików oraz przejęcia konta administratora. Atakujący może wykorzystać ważny link/token do przesyłania plików, aby nadpisać pliki i uzyskać dostęp do konta administratora.

CVE-2026-40624
Krytyczne

Nieprawidłowa walidacja danych wejściowych w kamerach AVer PTC500S, PTC115, PTC500+ i PTC115+ może umożliwić zdalnemu, nieautoryzowanemu atakującemu wykonanie dowolnego kodu za pomocą specjalnie przygotowanego żądania sieciowego.

CVE-2026-12048
Krytyczne

W pgAdmin 4 w wersjach od 6.0 do 9.15 wykryto podatność na trwałe ataki XSS. Tekst zwracany przez serwer PostgreSQL (np. nazwy obiektów w błędach czy pola EXPLAIN) był przekazywany bezpośrednio do html-react-parser, co pozwalało na wstrzyknięcie dowolnego HTML, w tym ramek iframe. Atakujący może kontrolować serwer lub stworzyć obiekt o złośliwej nazwie, co prowadzi do przejęcia sesji użytkownika pgAdmin.

CVE-2026-12046
Krytyczne

W pgAdmin 4 w wersjach od 6.9 do 9.15 brakuje dekoratora uwierzytelniania na dwóch endpointach SQL Editor, co pozwala nieuwierzytelnionym atakującym na wywołanie deserializacji pickle z sesji serwera. Luka wymaga jednak dodatkowych warunków (znajomość SECRET_KEY i dostęp do katalogu sesji), aby doprowadzić do zdalnego wykonania kodu.

CVE-2026-12045
Krytyczne

Podatność w asystencie AI pgAdmin 4 umożliwia atakującemu, który może wpływać na treść odczytywaną przez asystenta, wykonanie dowolnego SQL z uprawnieniami roli użytkownika pgAdmin. Luka wynika z braku walidacji zapytań generowanych przez LLM, co pozwala na ominięcie trybu tylko do odczytu poprzez wstrzyknięcie poleceń takich jak COMMIT czy ROLLBACK.

CVE-2026-54130
Krytyczne

Brak uwierzytelnienia dla krytycznej funkcji w M365 Copilot umożliwia nieautoryzowanemu atakującemu ujawnienie informacji w sieci.

CVE-2026-47647
Krytyczne

Nieprawidłowa kontrola dostępu w Microsoft Dynamics 365 umożliwia autoryzowanemu atakującemu podniesienie uprawnień w sieci.

CVE-2026-49454
Krytyczne

Biblioteka Relyra, będąca dostawcą usług SAML 2.0 dla Elixir i Phoenix, w wersjach 1.0.0 i 1.1.0 akceptowała fałszywe podpisy SAML z powodu braku kryptograficznej weryfikacji SignatureValue przed zwróceniem pozytywnego wyniku autoryzacji. Problem ten został naprawiony w wersji 1.2.0.

CVE-2026-49257
Krytyczne

mcp-pinot to serwer Model Context Protocol (MCP) oparty na Pythonie, który w wersjach 3.0.1 i poniżej domyślnie uruchamia serwer HTTP MCP bez włączonej autoryzacji. Wszystkie narzędzia MCP są dostępne dla każdego użytkownika w sieci, co prowadzi do poważnych luk w zabezpieczeniach.

CVE-2026-49252
Krytyczne

Deepstream to serwer umożliwiający synchronizację danych, wysyłanie wiadomości i wykonywanie RPC na dużą skalę. Wersje przed 10.0.5 są podatne na zanieczyszczenie prototypu, co może prowadzić do eskalacji uprawnień przez każdego uwierzytelnionego użytkownika z uprawnieniami do zapisu.

CVE-2026-47846
Krytyczne

Obrazy kontenerów Bitnami Cassandra są podatne na lukę związaną z zachowaniem domyślnego superużytkownika. W przypadku skonfigurowania niestandardowego konta administratora za pomocą zmiennej środowiskowej CASSANDRA_USER, skrypt inicjalizacji kontenera tworzy nowe konto superużytkownika, ale nie usuwa wbudowanego konta cassandra w określonych scenariuszach.

CVE-2026-54390
Krytyczne

Wersje JTL Shop od 5.2.0 do 5.7.1 zawierają podatność na wstrzykiwanie szablonów po stronie serwera, która pozwala nieautoryzowanym atakującym na wstrzykiwanie złośliwej składni szablonów z powodu niesanitowanych danych wejściowych użytkownika przekazywanych do silnika szablonów Smarty.

CVE-2026-54103
Krytyczne

Systemy EPDS i EDS nie weryfikują żądań zmiany hasła w punkcie końcowym API '/update-profile/N'. Zdalny, nieautoryzowany atakujący może zmienić hasło dowolnego użytkownika.

CVE-2026-38717
Krytyczne

W urządzeniach InHand Networks IR912 V1.0.0.r20042 oraz IR915 V1.0.0.r20042 (w tym wcześniejszych wersjach) odkryto podatność na wstrzykiwanie poleceń w funkcji przesyłania plików. Podatność ta umożliwia zdalnym atakującym wykonywanie dowolnych poleceń jako root za pomocą odpowiednio przygotowanego wejścia.

PoprzedniaStrona 22 z 554Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS