Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.16)

CVE-2026-53906
Wysokie

Podatność w MCO umożliwia ujawnienie ścieżki i traversal ścieżki w funkcjonalności obsługi plików związanej z eksportem i przesyłaniem danych. Niewłaściwa walidacja parametru nazwy pliku pozwala na zapisywanie plików w dowolnych lokalizacjach oraz pośrednie ujawnienie absolutnych ścieżek serwera poprzez komunikaty błędów.

CVE-2026-53905
Wysokie

Podatność w MCO pozwala uwierzytelnionemu użytkownikowi z niskimi uprawnieniami na dostęp do struktury kontroli dostępu administratora przez endpoint /customer/servlet/mco/webapi/admin-view-hierarchy/get-acl-tree-structure. Brak odpowiedniej autoryzacji może ujawnić poufne mapowania uprawnień i szczegóły konfiguracji wewnętrznej.

CVE-2026-53904
Wysokie

Podatność w systemie MCO umożliwia atakującemu zablokowanie konta ofiary poprzez wielokrotne resetowanie hasła. Każde żądanie resetu unieważnia poprzednie hasło i tymczasowe hasła, a liczba resetów nie jest ograniczona. Atakujący, znając adres e-mail i odpowiedź na pytanie zabezpieczające, może skutecznie uniemożliwić ofierze dostęp do konta.

CVE-2026-53903
Wysokie

Podatność IDOR w endpointcie /customer/servlet/mco/webapi/trading-document/fetchPdfStatement umożliwia nieautoryzowany dostęp do dokumentów handlowych innych użytkowników. Brak walidacji uprawnień pozwala na odczyt dokumentów na podstawie identyfikatora, który może być łatwo odgadnięty.

CVE-2026-53902
Średnie

Podatność w MCO pozwala uwierzytelnionemu użytkownikowi na modyfikację członkostwa w grupach bez odpowiedniej autoryzacji, co umożliwia eskalację uprawnień. Atakujący może dodać się do dowolnej grupy, podając prawidłowy identyfikator grupy, który może uzyskać z innych funkcji aplikacji lub odgadnąć metodą brute-force.

CVE-2026-14198
Krytyczne

Podatność w @fastify/middie w wersjach 9.1.0 do 9.3.2 powoduje rozbieżność w interpretacji zakodowanego ukośnika (%2F) między middleware a routerem Fastify. Atakujący może ominąć middleware używane do uwierzytelniania, autoryzacji lub ograniczania prędkości, wysyłając spreparowane żądanie z zakodowanym ukośnikiem w parametrze ścieżki.

CVE-2026-14181
Wysokie

Podatność w @fastify/middie w wersjach 9.1.0 do 9.3.2 powoduje awarię procesu Node.js przy przetwarzaniu nieprawidłowo zakodowanych sekwencji procentowych w ścieżkach żądań. Błąd występuje tylko przy użyciu samodzielnego silnika API (middie.run), a nie wtyczki Fastify.

CVE-2026-13323
Średnie

W Open VSX Registry przed wersją 1.0.2 endpoint /vscode/unpkg/ serwuje pliki HTML dostarczone przez użytkownika z typem MIME text/html i bez nagłówków Content-Security-Policy ani Content-Disposition: attachment. Nieuwierzytelniony atakujący może zarejestrować konto wydawcy, przesłać rozszerzenie VSIX z złośliwym ładunkiem HTML i nakłonić uwierzytelnionego użytkownika do odwiedzenia spreparowanego URL.

CVE-2026-14258
Średnie

W bibliotece dhcpcd wykryto podatność w procesie obsługi komunikatów IPv6 Neighbor Discovery Router Advertisement. Specjalnie spreparowany pakiet IPv6 Router Advertisement z opcją Neighbor Discovery o zerowej długości może ominąć walidację podczas przechowywania, a następnie zostać ponownie przetworzony bez odpowiedniej kontroli, powodując zapętlenie parsera. Skuteczne wykorzystanie może prowadzić do nadmiernego zużycia procesora i odmowy usługi.

CVE-2026-13228
Wysokie

Wtyczka LatePoint dla WordPressa do wersji 5.6.3 zawiera podatność na eskalację uprawnień do administratora. Wynika ona z niebezpiecznego bezpośredniego odwołania do obiektu (IDOR) w funkcji create_or_update() oraz braku weryfikacji roli w OsAuthHelper::authorize_customer(). Uwierzytelniony atakujący z poziomem dostępu Agenta może podmienić adres e-mail dowolnego klienta, w tym powiązanego z kontem administratora, a następnie zalogować się na to konto.

CVE-2026-12142
Wysokie

Wtyczka NEX-Forms dla WordPressa do wersji 9.2.2 włącznie jest podatna na przechowywany atak Cross-Site Scripting (XSS) poprzez parametr tablicy '_name[]'. Brak odpowiedniej sanitizacji wejścia i eskapowania wyjścia umożliwia nieuwierzytelnionym atakującym wstrzyknięcie dowolnych skryptów, które wykonują się przy dostępie do zainfekowanej strony.

CVE-2026-10095
Średnie

Wtyczka WP Photo Album Plus dla WordPressa zawiera podatność na trwałe ataki XSS przez parametr 'subtext' w wersjach do 9.1.13.005 włącznie. Brak odpowiedniej sanitacji wejścia i ucieczki wyjścia umożliwia uwierzytelnionym atakującym z dostępem na poziomie współautora i wyższym wstrzyknięcie dowolnych skryptów.

CVE-2026-27435
Średnie

Brak autoryzacji w Woffice umożliwia wykorzystanie nieprawidłowo skonfigurowanych poziomów bezpieczeństwa kontroli dostępu. Podatność dotyczy wersji przed 5.4.33.

CVE-2026-13454
Średnie

Wtyczka MotoPress Appointment Booking dla WordPressa jest podatna na ogólne wstrzykiwanie SQL przez parametr 's' we wszystkich wersjach do 2.4.5 włącznie. Podatność wynika z niedostatecznego oczyszczania parametru i braku odpowiedniego przygotowania zapytania SQL, co umożliwia uwierzytelnionym atakującym z dostępem na poziomie niestandardowym i wyższym dołączanie dodatkowych zapytań SQL do istniejących.

CVE-2026-12754
Średnie

Wtyczka VikBooking Hotel Booking Engine & PMS dla WordPressa jest podatna na odbite ataki typu Cross-Site Scripting (XSS) poprzez parametr 'layoutstyle' we wszystkich wersjach do 1.8.12 włącznie. Podatność wynika z niewystarczającego oczyszczania danych wejściowych i braku odpowiedniego kodowania wyjścia.

CVE-2026-56016
Średnie

Podatność w bibliotece CGI::Session::ID::md5 dla Perla przed wersją 4.49 generuje przewidywalne identyfikatory sesji z niskoentropijnych źródeł. Metoda generate_id tworzy identyfikator sesji z MD5 sumy PID, czasu epoki i funkcji rand(), które są łatwe do odgadnięcia.

CVE-2026-50043
WysokieEPSS 62%

W urządzeniach SkyBridge MB-A100/MB-A110 stwierdzono podatność na wstrzykiwanie poleceń systemu operacyjnego. Luka wynika z nieprawidłowej neutralizacji specjalnych elementów w poleceniach OS.

CVE-2026-13733
Średnie

Wtyczka Download Manager dla WordPressa jest podatna na trwałe ataki XSS przez atrybut shortcode 'no_data_msg' we wszystkich wersjach do 3.3.60 włącznie. Problem wynika z niedostatecznego oczyszczania danych wejściowych i ucieczki wyjścia, co pozwala uwierzytelnionym atakującym z dostępem na poziomie współautora i wyższym na wstrzyknięcie dowolnych skryptów.

CVE-2026-12732
Średnie

Wtyczka LearnPress dla WordPressa jest podatna na trwałe ataki XSS poprzez atrybut shortcode 'class_wrapper_form' w wersjach do 4.4.0 włącznie. Atakujący z dostępem na poziomie współautora lub wyższym mogą wstrzykiwać dowolne skrypty, które wykonają się podczas przeglądania zainfekowanej strony.

CVE-2026-12577
Wysokie

Urządzenie DVP80ES3 zawiera podatność polegającą na nieprawidłowo zaimplementowanej kontroli bezpieczeństwa dla standardu. Może to umożliwić atakującemu ominięcie mechanizmów zabezpieczających.

PoprzedniaStrona 223 z 4705Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS