Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
Podatność w produkcie Oracle WebCenter Content w ramach Oracle Fusion Middleware umożliwia atakującemu z wysokimi uprawnieniami i dostępem do sieci przez HTTP przejęcie kontroli nad Oracle WebCenter Content. Ataki mogą również znacząco wpłynąć na inne produkty.
Podatność w produkcie Identity Manager Oracle Fusion Middleware umożliwia atakującemu z niskimi uprawnieniami i dostępem do sieci przejęcie Identity Manager. Dotknięte wersje to 12.2.1.4.0 oraz 14.1.2.1.0.
Podatność w produkcie WebLogic Server firmy Oracle, która dotyczy wersji 14.1.2.0.0 oraz 15.1.1.0.0. Umożliwia łatwe wykorzystanie przez atakującego z niskimi uprawnieniami, mającego dostęp do sieci przez HTTP, co może prowadzić do przejęcia serwera WebLogic.
FileBrowser Quantum w wersjach przed 1.3.2-stable, 1.4.0-beta i 1.4.1-beta jest podatny na atak typu Path Traversal. Problem występuje w publicPatchHandler, gdzie użytkownik może manipulować ścieżkami plików, co pozwala na operacje na plikach poza udostępnionym katalogiem.
Urządzenie posiada serwer WWW, który udostępnia interfejs API REST, autoryzowany za pomocą tokena w sieci zarządzającej. Wykorzystując podatność na wstrzykiwanie poleceń systemowych, uwierzytelniony atakujący może wysyłać dowolne polecenia do urządzenia, które są wykonywane z uprawnieniami administracyjnymi przez system operacyjny.
W WC-Radio występuje możliwe zapisanie danych poza dozwolonym zakresem z powodu braku sprawdzenia granic. Może to prowadzić do zdalnego wykonania kodu bez potrzeby dodatkowych uprawnień wykonawczych.
Perry przed wersją 0.5.1166 zawiera podatność na walidację JWT, która pozwala zdalnym atakującym na obejście wygaśnięcia tokena. Wykorzystując nieodwołalne ustawienie validate_exp = false, atakujący mogą używać wygasłych tokenów, aby uzyskać nieograniczony dostęp.
W FactoryTalk Historian Site Edition występuje problem z ominięciem uwierzytelniania. Atakujący, wysyłając ciągłe żądania do punktu końcowego logowania, może uzyskać ważny token uwierzytelniający.
Obejście zabezpieczeń w komponencie bezpieczeństwa DOM. Ta podatność została naprawiona w Firefoxie 152 i Thunderbirdu 152.
Podatność polegająca na obejściu zabezpieczeń w komponencie DOM. Została naprawiona w wersjach Firefox 152, Firefox ESR 140.12, Thunderbird 152 oraz Thunderbird 140.12.
Podatność umożliwiająca obejście polityki same-origin w komponencie Networking: Cookies. Została naprawiona w wersjach Firefox 152, Firefox ESR 140.12, Thunderbird 152 oraz Thunderbird 140.12.
Podatność w komponencie sieciowym Firefoksa i Thunderbirda umożliwia ucieczkę z sandboksa z powodu błędnych warunków brzegowych. Luka została załatana w Firefox 152, Firefox ESR 140.12, Firefox ESR 115.37, Thunderbird 152 i Thunderbird 140.12.
Podatność umożliwia ucieczkę z piaskownicy procesów w komponencie Security: Process Sandboxing. Luka została naprawiona w przeglądarce Firefox 152, Firefox ESR 140.12 oraz klientach pocztowych Thunderbird 152 i Thunderbird 140.12.
Podatność umożliwia ucieczkę z piaskownicy w komponencie DOM: Navigation. Luka została naprawiona w przeglądarce Firefox 152 oraz wersjach ESR 140.12 i 115.37, a także w kliencie pocztowym Thunderbird 152 i 140.12.
Podatność umożliwia ucieczkę z piaskownicy w komponencie DOM: Workers w przeglądarce Firefox i kliencie pocztowym Thunderbird. Luka została załatana w wersjach Firefox 152, Firefox ESR 140.12, Firefox ESR 115.37, Thunderbird 152 oraz Thunderbird 140.12.
W komponencie WebGPU przeglądarki Firefox i klienta poczty Thunderbird wykryto podatność typu use-after-free. Luka została załatana w wersjach 152 obu aplikacji.
Podatność CVE-2026-40750 w sklepie internetowym themagnifico52 Kids Online Store pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach, co umożliwia przesłanie powłoki sieciowej na serwer WWW.
Wersje GEO my WordPress do 4.5.5 zawierają podatność na nieautoryzowany atak SQL Injection.
W podatności CVE-2026-49774 występuje niewłaściwa kontrola generowania kodu, co prowadzi do możliwości zdalnego wstrzykiwania kodu w aplikacji RD Station. Problem ten dotyczy wersji RD Station od n/a do 5.6.0.
W podatności CVE-2026-49772 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w aplikacji The Events Calendar.

