Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
Wersja 4.0.409 biblioteki remotion-dev remotion zawiera podatność umożliwiającą zdalne wykonanie kodu (RCE).
W systemie Fortra Core Privileged Access Manager (BoKS) występuje podatność na wstrzykiwanie poleceń systemowych w usłudze boks_autoregisterd. Zdalny atakujący z dostępem do sieci może spowodować wykonanie poleceń z uprawnieniami tej usługi podczas procesu automatycznej rejestracji.
W podatności CVE-2026-52704 występuje niewłaściwa kontrola generowania kodu w WooCommerce PDF Invoice Builder, co pozwala na zdalne wstrzykiwanie kodu. Problem ten dotyczy wersji od n/a do 2.0.8.
Wtyczka WordPress Baggage Freight Shipping Australia w wersji 0.1.0 zawiera podatność na nieograniczone przesyłanie plików, co pozwala nieautoryzowanym atakującym na przesyłanie dowolnych plików poprzez wykorzystanie punktu końcowego upload-package.php. Atakujący mogą wysyłać żądania POST z złośliwymi rozszerzeniami plików, co umożliwia zdalne wykonanie kodu.
Responsive FileManager pozwala nieautoryzowanemu atakującemu na przesyłanie plików dowolnego typu i rozszerzenia bez ograniczeń za pomocą punktu końcowego dialog.php, co prowadzi do zdalnego wykonania kodu.
Podatność CVE-2026-49757 dotyczy obejścia uwierzytelniania w AshAuthentication, które pozwala na przejęcie kont lokalnych użytkowników poprzez logowanie za pomocą OAuth2/OIDC. Problem wynika z używania adresu e-mail jako unikalnego identyfikatora zamiast kombinacji iss/sub z OpenID Connect.
Wtyczka WP MAPS PRO dla WordPressa przed wersją 6.1.1 rejestruje nieautoryzowaną akcję AJAX, która, przy użyciu ważnego nonce, nieodwracalnie tworzy konto administratora i zwraca URL do magicznego logowania, umożliwiając interaktywny dostęp do panelu administracyjnego.
Wersje GD przed 2.86 dla Perla umożliwiają wstrzyknięcie poleceń systemowych oraz nadpisanie plików poprzez użycie funkcji open() z dwoma argumentami w _make_filehandle. Wprowadzenie nazwy pliku zaczynającej się lub kończącej na znak rury lub przekierowanie może prowadzić do wykonania polecenia zamiast otwarcia pliku.
System automatyzacji stacji benzynowej Nefteprodukttekhnika BUK TS-G w wersjach 2.9.1 do 2.10.2 na systemie Linux zawiera podatność na niewłaściwą autoryzację w module konfiguracji systemu. Punkt końcowy /php/ajax-login.php zwraca userid=1 (administrator) w odpowiedzi na dowolne żądanie HTTP POST z arbitralnymi poświadczeniami.
Protokół Model Context zawiera ostrzeżenie dotyczące bezpieczeństwa, które zaleca serwerom walidację nagłówka 'Origin' we wszystkich przychodzących połączeniach, aby zapobiec atakom DNS rebinding. W wersji 0.25.0 wprowadzono nowy flagę '--allowed-hosts', umożliwiającą użytkownikom określenie dozwolonych hostów przy uruchamianiu serwera.
OpenClaw przed wersją 2026.5.27 zawiera podatność na mutację stanu w logice ponownego połączenia węzłów, co pozwala na mylenie decyzji dotyczących zakresu zatwierdzenia. Atakujący mogą wykorzystać logikę ponownego połączenia, aby przywrócić lub przedstawić szersze uprawnienia węzła niż zamierzono.
ApostropheCMS to system zarządzania treścią oparty na Node.js, który w wersjach do 4.30.0 pozwala na nieautoryzowane modyfikacje prototypu obiektów przez uwierzytelnionych edytorów. Wykorzystanie operatora `$pullAll` umożliwia zapis dowolnych wartości do `Object.prototype`, co prowadzi do obejścia autoryzacji na wszystkich punktach końcowych REST API.
Nezha Monitoring przed wersją 2.0.13 ma lukę w obsłudze NoRoute w dashboardzie, która pozwala na dostęp do zasobów administracyjnych bez autoryzacji. Wykorzystując nieprawidłowe sprawdzenie prefiksu URL, atakujący może uzyskać dostęp do plików systemowych.
Nezha Monitoring w wersjach od 1.4.0 do przed 2.0.8 pozwala użytkownikom z rolą RoleMember na tworzenie zaplanowanych zadań cron, które mogą wykonywać dowolne polecenia na serwerach, w tym na serwerach należących do innych użytkowników. To stwarza ryzyko nieautoryzowanego dostępu do systemów.
Strona internetowa zawierająca nietypową zawartość WebGPU może załadować ją do procesu renderowania GPU GLES, co prowadzi do zapisu poza granicami pamięci w sterowniku użytkownika GPU. Może to skutkować uszkodzeniem pamięci oraz awarią przeglądarki lub procesu GPU.
Podatność w bibliotece sanitize-html przed wersją 2.17.4 umożliwia obejście mechanizmu sanityzacji HTML. Atakujący może umieścić złośliwy kod wewnątrz niedozwolonego elementu `xmp`, który w domyślnej konfiguracji (`disallowedTagsMode: 'discard'`) zostanie przekształcony w aktywny HTML lub JavaScript, prowadząc do trwałego XSS.
Urządzenia Naxclow wykorzystują jednolity schemat podpisywania żądań oparty na wbudowanej w każdym obrazie oprogramowania soli. Po odzyskaniu tej soli z dowolnego urządzenia, atakujący może generować ważne podpisy dla dowolnych operacji urządzenia lub konta, co prowadzi do możliwości fałszowania żądań i podszywania się pod użytkowników.
SimpleHelp w wersjach 5.5.15 i starszych oraz wersjach przedpremierowych 6.0 zawiera podatność na pominięcie uwierzytelnienia w przepływie OIDC. Tokeny tożsamości przesyłane podczas logowania są akceptowane bez weryfikacji podpisu kryptograficznego, co pozwala zdalnemu, nieuwierzytelnionemu atakującemu na uzyskanie w pełni uwierzytelnionej sesji technika.
Podatność w MariaDB na Windows z włączonym silnikiem CONNECT i obsługą REST pozwala na wstrzyknięcie poleceń powłoki przez nieprawidłowe oczyszczenie atrybutu HTTP tabeli w wywołaniu curl. Problem dotyczy wersji od 10.6.1 do 10.6.26, 10.11.1 do 10.11.17, 11.4.1 do 11.4.11, 11.8.1 do 11.8.7 oraz 12.3.1.
Aqara Home na Androidzie w wersji 6.0.0 oraz klienci białej etykiety, którzy używają tej samej biblioteki liblumidevsdk.so, stosują zakodowane na sztywno klucze kryptograficzne. To stanowi przykład podatności CWE-321: Użycie zakodowanego na sztywno klucza kryptograficznego.

