Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-57737
Średnie

Wtyczka Shortcodes and extra features dla motywu Phlox zawiera podatność na ataki XSS oparte na DOM. Luka wynika z niewłaściwego neutralizowania danych wejściowych podczas generowania stron internetowych.

CVE-2026-57736
Wysokie

Podatność w HubSpot umożliwia wstawienie wrażliwych informacji do wysyłanych danych, co pozwala na odzyskanie osadzonych danych wrażliwych. Problem dotyczy wersji HubSpot od n/a do 11.3.51.

CVE-2026-57723
Wysokie

Podatność CSRF w VikBooking Hotel Booking Engine & PMS umożliwia atakującemu wykonanie operacji prowadzących do przejścia ścieżki (Path Traversal). Luka występuje we wszystkich wersjach do 1.8.12 włącznie.

CVE-2026-57722
Średnie

Wtyczka Enable Media Replace dla WordPressa zawiera podatność na trwałe ataki XSS (Cross-Site Scripting) spowodowaną niewłaściwą neutralizacją danych wejściowych podczas generowania stron. Problem dotyczy wersji od n/a do 4.2.1 włącznie.

CVE-2026-54428
Wysokie

Podatność w dekoderze HPACK HTTP/2 w Apache HttpComponents Core (wersje 5.4.2 i wcześniejsze, 5.5-beta1 i wcześniejsze) pozwala zdalnemu atakującemu na wyczerpanie pamięci poprzez wysłanie nadmiernie dużych skompresowanych bloków nagłówków przed potwierdzeniem ustawień HTTP/2, co prowadzi do odmowy usługi (DoS).

CVE-2026-51946
Średnie

Podatność SQL Injection w GoAdminGroup GoAdmin (ostatnie wydanie v1.2.26) umożliwia zdalnemu atakującemu wykonanie dowolnego kodu i uzyskanie wrażliwych informacji poprzez parametr URL __sort_type na wszystkich endpointach /admin/info/{table}.

CVE-2026-49091
Wysokie

Podatność CWE-117 w Kibanie umożliwia wstrzykiwanie niesanitowanych danych do logów. Atakujący może dostarczyć specjalnie spreparowane dane wejściowe, które bez odpowiedniej neutralizacji trafiają do plików logów. Po wyświetleniu logów w terminalu interpretującym sekwencje sterujące, wstrzyknięta treść może zmienić wyświetlane dane.

CVE-2026-49090
Średnie

Podatność CVE-2026-49090 w Elasticsearch umożliwia atak typu odmowa usługi (DoS) poprzez niekontrolowane zużycie zasobów. Uwierzytelniony użytkownik może wysłać spreparowane żądanie zbiorcze (bulk request), które powoduje długotrwałe wysokie obciążenie procesora, uniemożliwiając węzłowi przetwarzanie innych zapytań.

CVE-2026-46680
Wysokie

W containerd przed wersjami 1.7.32, 2.0.9, 2.2.4 i 2.3.1, kontenery z dyrektywą User ustawioną na wartość liczbową, która nie może być sparsowana jako 32-bitowa liczba całkowita, są błędnie traktowane jako nazwa użytkownika. Umożliwia to ominięcie ograniczenia runAsNonRoot w Kubernetes, jeśli spreparowany obraz zawiera wpis w /etc/passwd mapujący tę dużą liczbę na roota, co powoduje uruchomienie kontenera jako root (UID 0).

CVE-2026-58454
Wysokie

Kamery IP Wi-Fi JAIOTlink C492A-W6 z firmware 4.8.30.57701411 zawierają podatność zdalnego wykonania kodu. Uwierzytelniony atakujący może zapisać złośliwy skrypt w trwałej pamięci JFFS2 i wywołać jego wykonanie przez endpoint HTTP, co prowadzi do trwałego przejęcia kontroli nad urządzeniem.

CVE-2026-58453
KrytyczneEPSS 74%

Kamery IP Wi-Fi JAIOTlink C492A-W6 z oprogramowaniem 4.8.30.57701411 zawierają zakodowane na stałe poświadczenia, umożliwiające atakującym z sąsiedztwa sieciowego nieautoryzowany dostęp poprzez użycie domyślnej nazwy użytkownika admin z pustym hasłem akceptowanym przez usługę HTTP anyka_ipc na porcie 80. Atakujący mogą uwierzytelnić się tymi poświadczeniami, aby uzyskać dostęp do migawek z kamery, strumieni wideo, konfiguracji sieci oraz punktów końcowych API na poziomie fabrycznym, w tym powierzchni do wstrzykiwania poleceń SetMAC.

CVE-2026-58452
WysokieEPSS 82%

W kamerach IP Wi-Fi JAIOTlink C492A-W6 z oprogramowaniem 4.8.30.57701411 wykryto podatność na wstrzykiwanie poleceń systemu operacyjnego. Uwierzytelniony atakujący może zdalnie wykonać kod, dostarczając złośliwy parametr Wireless do punktu końcowego HTTP PUT NetSDK/Factory SetMAC.

CVE-2026-57721
Średnie

Wtyczka ApplyOnline dla WordPressa zawiera lukę braku autoryzacji, która umożliwia wykorzystanie nieprawidłowo skonfigurowanych poziomów bezpieczeństwa kontroli dostępu. Luka dotyczy wersji od n/a do 2.6.7.6.

CVE-2026-57720
Średnie

Wtyczka ThumbPress dla WordPressa zawiera lukę braku autoryzacji, która umożliwia wykorzystanie nieprawidłowo skonfigurowanych poziomów bezpieczeństwa kontroli dostępu. Podatność dotyczy wszystkich wersji od n/a do 6.3.2 włącznie.

CVE-2026-57516
Wysokie

Ray przed wersją 2.56.0 zawiera podatność na niebezpieczną deserializację w czytniku WebDataset. Atakujący może zdalnie wykonać kod, dostarczając złośliwe archiwum tar do funkcji read_webdataset(). Funkcja _default_decoder() w webdataset_datasource.py bezwarunkowo wywołuje pickle.loads() na wpisach tar z rozszerzeniami .pkl/.pickle oraz torch.load() z weights_only=False na .pt/.pth, co prowadzi do wykonania dowolnego kodu w zdalnych workerach Ray.

CVE-2026-56152
Średnie

Podatność CVE-2026-56152 w Elastic Defend wynika z nieprawidłowej autoryzacji (CWE-863). Umożliwia ona niskouprzywilejowanemu, uwierzytelnionemu użytkownikowi dostęp do danych akcji odpowiedzi, do których nie ma uprawnień, co prowadzi do nieautoryzowanego ujawnienia informacji.

CVE-2026-56151
Średnie

Podatność CVE-2026-56151 w Kibanie wynika z nieprawidłowej walidacji danych wejściowych (CWE-20). Uwierzytelniony użytkownik może przesłać specjalnie spreparowane dane wejściowe polityki Fleet, co prowadzi do odmowy usługi (DoS) poprzez manipulację danymi wejściowymi (CAPEC-153). Atak ten uniemożliwia działanie zarządzania agentami Fleet, serwerem oraz politykami.

CVE-2026-56150
Średnie

Podatność CWE-770 w Fleet Server umożliwia atakującemu wysłanie specjalnie spreparowanego żądania do punktu końcowego przesyłania plików, co prowadzi do nadmiernego zużycia pamięci i może spowodować odmowę usługi (DoS).

CVE-2026-56149
Średnie

Podatność CWE-770 w Elasticsearch umożliwia atak DoS poprzez nadmierną alokację pamięci. Użytkownik z podwyższonymi uprawnieniami może wysłać spreparowane żądanie uczenia maszynowego, co prowadzi do wyczerpania zasobów i niedostępności węzła.

CVE-2026-56148
Średnie

Podatność CVE-2026-56148 w Elasticsearch umożliwia niekontrolowaną rekurencję, co prowadzi do odmowy usługi. Uwierzytelniony użytkownik może wysłać specjalnie spreparowane zapytanie, które powoduje nadmierne zużycie zasobów podczas przetwarzania, potencjalnie uniemożliwiając działanie dotkniętego węzła.

PoprzedniaStrona 28 z 4489Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS