Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-57966
Średnie

W bibliotece spice-vdagent wykryto podatność polegającą na przechodzeniu poza katalog (path traversal). Pozwala ona złośliwemu lub skompromitowanemu hostowi SPICE na zapisywanie dowolnych plików w dowolnej lokalizacji w systemie gościa. Problem wynika z braku odpowiedniej sanityzacji nazwy pliku przesyłanej przez host SPICE podczas transferu plików.

CVE-2026-57965
Średnie

W bibliotece spice-vdagent wykryto podatność polegającą na przepełnieniu liczby całkowitej. Złośliwy lub skompromitowany host SPICE może wysłać spreparowaną wiadomość, co prowadzi do przepełnienia bufora sterty i awarii demona spice-vdagent. Powoduje to odmowę usługi (DoS) dla maszyny wirtualnej.

CVE-2026-57676
Średnie

Wtyczka Simple User Avatar dla WordPressa zawiera podatność na obejście autoryzacji poprzez kontrolowany przez użytkownika klucz. Umożliwia to wykorzystanie nieprawidłowo skonfigurowanych poziomów bezpieczeństwa kontroli dostępu.

CVE-2026-13595
Średnie

W bibliotece libblkid pakietu util-linux wykryto podatność polegającą na użyciu zwolnionej pamięci sterty (use-after-free). Podczas skanowania zagnieżdżonych partycji, wskaźnik do wpisu partycji nadrzędnej staje się nieaktualny po realokacji tablicy, co umożliwia atakującemu odczyt z nieprawidłowego obszaru pamięci.

CVE-2026-13549
Średnie

W systemie CodeAstro Complaint Management System 1.0 wykryto lukę w funkcji deletereport w pliku Report.php. Umożliwia ona zdalne ominięcie autoryzacji poprzez manipulację punktem końcowym raportu.

CVE-2026-13548
Średnie

W systemie itsourcecode Hospital Management System 1.0 wykryto podatność SQL Injection w pliku /doctortimings.php. Atakujący może zdalnie manipulować argumentem editid, co prowadzi do wstrzyknięcia kodu SQL. Exploit jest publicznie dostępny.

CVE-2026-9676
Średnie

Wtyczka F4 Post Tree dla WordPressa przed wersją 2.0.5 nie sprawdza uprawnień ani nie weryfikuje tokena CSRF/nonce w jednej z akcji AJAX, co pozwala uwierzytelnionym użytkownikom z dostępem na poziomie Subskrybenta i wyższym na modyfikowanie rodzica oraz kolejności menu dowolnych wpisów.

CVE-2026-13544
Średnie

W Feehi CMS do wersji 2.1.1 wykryto podatność w pliku /api/users komponentu API. Nieznana funkcjonalność tego pliku powoduje nieprawidłową kontrolę dostępu, co umożliwia zdalne ataki. Exploit został opublikowany i może być wykorzystany.

CVE-2026-13543
Średnie

W Documenso do wersji 2.11.0 wykryto podatność w komponencie logowania przez Google OAuth. Nieznana funkcjonalność pliku handle-oauth-callback-url.ts prowadzi do nieprawidłowego uwierzytelnienia. Atak może być przeprowadzony zdalnie, ale jest trudny do wykorzystania ze względu na wysoką złożoność.

CVE-2026-13542
Średnie

W systemie itsourcecode Hospital Management System 1.0 wykryto podatność SQL injection w pliku /doctorprofile.php. Atakujący może zdalnie manipulować argumentem doctorname, co prowadzi do wstrzyknięcia SQL. Exploit został publicznie ujawniony.

CVE-2026-13541
Średnie

W systemie itsourcecode Hospital Management System 1.0 wykryto podatność na iniekcję SQL w pliku /doctorchangepassword.php. Manipulacja argumentem newpassword umożliwia zdalne wykonanie ataku. Exploit został opublikowany, co zwiększa ryzyko wykorzystania.

CVE-2026-13540
Średnie

W GitBucket do wersji 4.46.1 wykryto podatność na fałszowanie żądań po stronie serwera (SSRF) w funkcji Git.cloneRepository.setURI. Manipulacja argumentem url w pliku RepositoryCreationService.scala umożliwia zdalne przeprowadzenie ataku. Exploit został opublikowany, a zalecane jest zastosowanie łatki.

CVE-2025-7386
Średnie

Podatność polegająca na ujawnieniu informacji w oprogramowaniu Hitachi Storage Navigator. Luka występuje w wielu modelach macierzy Hitachi Virtual Storage Platform przed określonymi wersjami oprogramowania DKCMAIN i SVP.

CVE-2026-13538
ŚrednieEPSS 67%

W urządzeniu Wavlink WL-NU516U1-A w wersji oprogramowania M16U1_V240425 wykryto podatność na wstrzykiwanie poleceń. Problem występuje w funkcji sub_401D68 pliku /cgi-bin/wireless.cgi, gdzie parametry SSID2G2, SSID5G2, AuthMethod2 i WPAPSK12 są nieprawidłowo przetwarzane. Atakujący może zdalnie wykorzystać tę lukę, a exploit został już opublikowany.

CVE-2026-13537
Średnie

W systemie CodeAstro Human Resource Management System 1.0 wykryto podatność na fałszerstwo żądania międzywitrynowego (CSRF). Nieznana funkcja systemu umożliwia atakującemu zdalne wykonanie nieautoryzowanych działań w imieniu uwierzytelnionego użytkownika. Exploit został opublikowany i może być wykorzystany w praktyce.

CVE-2026-13536
Średnie

W GotoHTTP do wersji 10.2 wykryto podatność na atak XSS w pliku /reg.12x poprzez manipulację parametrem sn. Atak może być przeprowadzony zdalnie, a szczegóły exploit zostały ujawnione publicznie.

CVE-2026-13535
Średnie

W systemie CodeAstro Human Resource Management System 1.0 wykryto podatność na iniekcję SQL w funkcji GetFileInfo pliku Employee_model.php. Manipulacja argumentem ID w endpointcie widoku umożliwia zdalne wykonanie ataku. Exploit został opublikowany i może być wykorzystany.

CVE-2026-13534
Średnie

W CherryHQ cherry-studio do wersji 1.9.7 wykryto podatność w funkcji sha256 pliku MemoryService.ts komponentu CherryIN Preload API. Manipulacja argumentem state prowadzi do obejścia autoryzacji.

CVE-2026-13533
Średnie

W Cockpit CMS do wersji 0.12.2 wykryto podatność w funkcji Spyc::YAMLLoad pliku /config/config.yaml komponentu htaccess Handler. Manipulacja ta prowadzi do nieautoryzowanego dostępu do plików lub katalogów. Atak może być przeprowadzony zdalnie, a exploit został publicznie ujawniony.

CVE-2026-13532
Średnie

W systemie zarządzania szpitalem itsourcecode Hospital Management System 1.0 wykryto podatność na wstrzykiwanie SQL w pliku /departmentDoctor.php. Atakujący może zdalnie manipulować argumentem deptid, co prowadzi do nieautoryzowanego dostępu do bazy danych. Exploit został opublikowany, co zwiększa ryzyko wykorzystania.

PoprzedniaStrona 34 z 523Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS