Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-14161
Wysokie

Hospital Quening Management firmy Advantech zawiera podatność na ujawnienie wrażliwych danych, umożliwiającą nieuwierzytelnionym zdalnym atakującym dostęp do konkretnego adresu URL w celu uzyskania dokumentacji API.

CVE-2026-54475
Wysokie

W Apache ActiveMQ wykryto brak autoryzacji dla tymczasowych kolejek. Oczekiwano, że tymczasowe kolejki będą izolowane dla połączenia, które je utworzyło, jednak izolacja ta jest sprawdzana tylko po stronie klienta, co pozwala innemu połączeniu na konsumpcję z tymczasowej kolejki innego połączenia.

CVE-2026-53917
WysokieEPSS 52%

Podatność w Apache ActiveMQ pozwala uwierzytelnionemu użytkownikowi na przeprowadzenie ataku DoS na broker poprzez wysłanie spreparowanej wiadomości OpenWire z zawyżoną wartością rozmiaru mapy. Brak walidacji rozmiaru podczas deserializacji map właściwości wiadomości może prowadzić do wyczerpania pamięci (OOM) i awarii brokera.

CVE-2026-53916
WysokieEPSS 52%

Podatność w Apache ActiveMQ pozwala nieuwierzytelnionemu klientowi na wysłanie przez STOMP NIO nagłówków, które nigdy się nie kończą, co powoduje nieograniczone buforowanie przez brokera i wyczerpanie sterty JVM.

CVE-2026-50750
Wysokie

Podatność w Apache ActiveMQ umożliwia niezautoryzowanemu atakującemu spowodowanie wyczerpania pamięci (OOM) poprzez wysyłanie powtarzających się poleceń BrokerInfo bez ConnectionInfo, co prowadzi do awarii brokera.

CVE-2026-50734
WysokieEPSS 52%

Podatność w Apache ActiveMQ pozwala nieuwierzytelnionemu atakującemu na zdalne spowodowanie odmowy usługi (DoS) brokera poprzez wysłanie spreparowanej ramki WireFormatInfo z złośliwie dużą wartością rozmiaru. Brak walidacji tej wartości prowadzi do próby alokacji pamięci podczas negocjacji przed uwierzytelnieniem, co może wywołać przepełnienie pamięci (OOM) i crash brokera.

CVE-2026-49877
Wysokie

W Apache ActiveMQ wykryto podatność polegającą na nieprawidłowej autoryzacji. Domyślnie uwierzytelniony użytkownik z niskimi uprawnieniami może uzyskać dostęp do ścieżek /admin/* w konsoli WWW, co powinno być zarezerwowane tylko dla administratorów. Problem wynika z błędnej konfiguracji Jetty.

CVE-2026-49434
Wysokie

Podatność związana z nieprawidłową walidacją danych wejściowych w Apache ActiveMQ umożliwia atakującemu z dostępem do LDAP na tworzenie niedozwolonych transportów w JVM brokera. Może to prowadzić do pobrania złośliwego adresu URL i uruchomienia drugiej instancji BrokerService w tej samej maszynie wirtualnej.

CVE-2026-49432
WysokieEPSS 53%

W Apache ActiveMQ wykryto podatność polegającą na nieprawidłowej walidacji danych wejściowych w protokole STOMP. Zdalny, nieuwierzytelniony atakujący może wysłać ujemny nagłówek content-length, powodując odmowę usługi (DoS). W przypadku transportu NIO STOMP prowadzi to do wyczerpania pamięci (OOM), a dla blokującego STOMP do błędów zamykających połączenie.

CVE-2026-8141
Wysokie

Wtyczka Ajax Load More - Filters dla WordPressa jest podatna na przechowywany atak XSS przez parametr 'taxonomy_include_children' we wszystkich wersjach do 3.4.1 włącznie. Podatność wynika z niedostatecznego oczyszczania danych wejściowych i braku odpowiedniego kodowania wyjścia.

CVE-2026-13149
Wysokie

Podatność w bibliotece brace-expansion do wersji 5.0.6 umożliwia atak DoS poprzez przesłanie specjalnie spreparowanego ciągu znaków. Funkcja expand() ma złożoność wykładniczą w przypadku dużej liczby kolejnych grup klamrowych '{}', które nie są rozwijane. Atakujący może spowodować znaczne obciążenie procesora i zablokowanie pętli zdarzeń.

CVE-2026-10763
Wysokie

Podatność w PROMOD V wynika z używania niezabezpieczonego protokołu HTTP zamiast HTTPS. Problem leży po stronie serwera Digipede, który nie obsługuje szyfrowanego połączenia.

CVE-2025-7406
Wysokie

Podatność w Nokia MantaRay NM umożliwia lokalnemu atakującemu z uprawnieniami administratora lokalnego eskalację do pełnych uprawnień root na hoście. Udane wykorzystanie prowadzi do dostępu do systemu plików na poziomie root i możliwości wykonywania działań jako root.

CVE-2025-24815
Wysokie

Nokia MantaRay NM zawiera podatność polegającą na nieograniczonym przesyłaniu plików z powodu niewystarczającej walidacji typów plików. Umożliwia to uwierzytelnionemu atakującemu przesłanie złośliwych plików do systemu.

CVE-2026-12578
Wysokie

Podatność umożliwia deserializację niezaufanych danych, co może pozwolić atakującemu na wykonanie dowolnego kodu.

CVE-2026-56808
WysokieEPSS 72%

Urządzenie DGM3103SCT firmy AVTECH Security Corporation zawiera podatność na wstrzykiwanie poleceń systemu operacyjnego. Użytkownik posiadający dostęp do konsoli zarządzania webowego może wykonać dowolne polecenia z uprawnieniami roota.

CVE-2026-56137
Wysokie

W oprogramowaniu RPG MAKER MV i MZ firmy Gotcha Gotcha Games Inc. wykryto podatność na wstrzykiwanie poleceń systemu operacyjnego. Załadowanie specjalnie spreparowanego pliku zapisu może prowadzić do wykonania dowolnego polecenia OS.

CVE-2026-14164
Wysokie

W bibliotece libarchive w czytniku RAR5 wykryto podwójne zwolnienie pamięci. Podczas przetwarzania specjalnie spreparowanego archiwum RAR5 wskaźnik filtered_buf może pozostać nieaktualny po zwolnieniu w trakcie reinicjalizacji stanu rozpakowywania. Kolejne przetwarzanie innego wpisu archiwum może spowodować ponowne zwolnienie tego samego obszaru pamięci, prowadząc do podwójnego zwolnienia.

CVE-2026-12240
Wysokie

Wtyczka Export User Data dla WordPressa jest podatna na dowolne usuwanie plików z powodu niewystarczającej walidacji ścieżki pliku w funkcji unserialize. Luka występuje we wszystkich wersjach do 2.2.6 włącznie i umożliwia uwierzytelnionym atakującym z dostępem na poziomie subskrybenta lub wyższym usuwanie dowolnych plików na serwerze.

CVE-2026-11590
Wysokie

Wtyczka WP Support Plus Responsive Ticket System dla WordPressa w wersji do 9.1.2 nie oczyszcza kluczy tablic dostarczanych przez użytkownika przed użyciem ich w zapytaniu SQL, co pozwala nieuwierzytelnionym użytkownikom na przeprowadzanie ataków SQL injection.

PoprzedniaStrona 34 z 3339Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS