Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-12960
Średnie

Podatność w aplikacji ASUS Router na Androida pozwala złośliwej aplikacji na tym samym urządzeniu na wysłanie spreparowanego Intentu, który otwiera dowolny adres URL w kontekście aplikacji ASUS Router. Jest to spowodowane nieprawidłowym eksportem komponentów aplikacji.

CVE-2026-12920
Średnie

Wtyczka Cookie Banner for GDPR / CCPA – WPLP Cookie Consent dla WordPressa jest podatna na ogólne wstrzykiwanie SQL przez parametr 's' we wszystkich wersjach do 4.3.5 włącznie. Podatność wynika z niedostatecznego escapowania parametru i braku odpowiedniego przygotowania zapytania SQL, co umożliwia uwierzytelnionym atakującym z dostępem administratora dołączanie dodatkowych zapytań SQL.

CVE-2026-12734
Średnie

Wtyczka weDocs dla WordPressa do wersji 2.3.0 włącznie zawiera podatność na trwałe ataki XSS przez atrybut bloku 'connectorWidth'. Brak odpowiedniego oczyszczania danych wejściowych i wyjściowych umożliwia uwierzytelnionym atakującym z dostępem na poziomie współautora lub wyższym wstrzyknięcie dowolnych skryptów, które wykonają się przy każdym dostępie do zainfekowanej strony.

CVE-2026-12731
Średnie

Wtyczka weDocs dla WordPressa do wersji 2.3.0 włącznie zawiera podatność na trwałe ataki XSS przez atrybuty bloków 'sectionTitleTag' i 'articleTitleTag'. Brak odpowiedniego oczyszczania danych wejściowych i kodowania wyjścia umożliwia uwierzytelnionym atakującym z dostępem na poziomie współautora lub wyższym wstrzyknięcie dowolnych skryptów, które wykonują się przy każdym odwiedzeniu zainfekowanej strony.

CVE-2026-12729
Średnie

Wtyczka weDocs dla WordPressa w wersji do 2.3.0 zawiera brak autoryzacji w funkcji do_migration(). Atakujący z dostępem na poziomie Subskrybenta może wywołać migrację danych z BetterDocs do weDocs, tworząc i modyfikując wpisy typu 'docs', aktualizując opcje witryny oraz dezaktywując wtyczki BetterDocs i BetterDocs Pro.

CVE-2026-55726
Średnie

Kontener Azure Blob Storage przechowujący logi urządzeń Gardyn jest publicznie dostępny bez uwierzytelniania. Osoba atakująca może odczytać dowolny plik dziennika urządzenia znajdujący się w tym kontenerze.

CVE-2026-54477
Średnie

Panel administracyjny nie zawiera standardowych nagłówków bezpieczeństwa, co umożliwia ataki typu clickjacking oraz cross-site scripting (XSS).

CVE-2026-13728
Średnie

W wyjątkowych okolicznościach system Fireware OS w klastrze FireCluster może używać zakodowanego na stałe klucza szyfrującego do zabezpieczania zapisanych poświadczeń dla zasobów Access Portal. Podatność dotyczy wersji Fireware OS 12.1 do 12.12 oraz 2025.1 do 2026.2.

CVE-2026-13377
Średnie

Podatność na trwały atak XSS w module SIP Proxy systemu WatchGuard Fireware OS. Brak neutralizacji danych wejściowych umożliwia wstrzyknięcie złośliwego skryptu, który jest przechowywany na serwerze. Jest to dodatkowa, niezałatana ścieżka ataku dla CVE-2025-6947.

CVE-2026-13376
Średnie

W module spamBlocker systemu WatchGuard Fireware OS wykryto podatność na trwałe XSS (Stored Cross-Site Scripting) spowodowaną niewłaściwą neutralizacją danych wejściowych podczas generowania strony. Jest to dodatkowy, niezałatany wektor ataku dla CVE-2025-1071.

CVE-2026-13375
Średnie

Podatność na trwałe XSS w module integracji Autotask w systemie Fireware OS firmy WatchGuard. Stanowi dodatkową, niezałataną ścieżkę ataku dla CVE-2025-13938.

CVE-2026-13374
Średnie

Podatność na trwały XSS w module integracji ConnectWise w systemie WatchGuard Fireware OS. Jest to dodatkowy, niezałatany wektor ataku dla CVE-2025-13937.

CVE-2026-13373
Średnie

W systemie WatchGuard Fireware OS w module integracji Tigerpaw Technology wykryto podatność na trwałe XSS (Stored Cross-Site Scripting). Atakujący może wstrzyknąć złośliwy kod JavaScript do strony WWW, który będzie wykonywany w przeglądarkach innych użytkowników. Jest to dodatkowy, niezałatany wektor ataku dla wcześniejszej podatności CVE-2025-13936.

CVE-2026-13371
Średnie

Podatność w Fireware Management Web UI pozwala uwierzytelnionemu administratorowi na wywołanie stanu odmowy usługi (DoS) poprzez wysłanie spreparowanych danych do endpointu put_data, który wykonuje niebezpieczną deserializację danych wejściowych.

CVE-2026-26145
Średnie

Podatność w Azure Synapse wynika z nieprawidłowej kontroli dostępu, co umożliwia autoryzowanemu atakującemu eskalację uprawnień w sieci. Problem dotyczy mechanizmów autoryzacji w usłudze analitycznej Microsoft Azure.

CVE-2026-59102
Średnie

Forgejo przed wersją 15.0.3 zawiera podatność na trwałe ataki XSS, umożliwiającą uwierzytelnionym atakującym wykonanie dowolnego kodu JavaScript w przeglądarkach innych użytkowników. Atak polega na ustawieniu pełnej nazwy zawierającej ładunek HTML i uruchomieniu zadania Actions, co prowadzi do wstrzyknięcia skryptu podczas renderowania strony.

CVE-2026-59101
Średnie

AutoBangumi przed wersją 3.2.8 zawiera podatność na fałszowanie żądań po stronie serwera (SSRF). Nieuwierzytelnieni atakujący zdalni mogą badać wewnętrzne usługi sieciowe, podając dowolne wartości hosta do niezabezpieczonego punktu końcowego konfiguracji.

CVE-2026-59100
Średnie

LobeChat do wersji 2.2.9 zawiera podatność związaną z uszkodzoną autoryzacją na poziomie obiektu, która umożliwia uwierzytelnionym atakującym dostęp i modyfikację danych agentów grup czatu innych użytkowników poprzez podanie dowolnych identyfikatorów grup. Atakujący mogą wywoływać operacje getGroupAgents, updateAgentInGroup i removeAgentsFromGroup bez predykatów ograniczających do użytkownika, co pozwala na odczyt list agentów, zmianę ich ról i kolejności oraz usuwanie agentów z grup czatu należących do innych użytkowników.

CVE-2026-59098
Średnie

LobeChat do wersji 2.2.9 zawiera podatność związaną z niespójną kontrolą dostępu w funkcji wyszukiwania semantycznego RAG. Uwierzytelnieni atakujący mogą uzyskać dostęp do danych innych użytkowników, wykorzystując brak predykatów identyfikujących użytkownika w metodzie semanticSearch modelu chunk.

CVE-2026-59097
Średnie

Taiga przed wersją 6.10.2 zawiera lukę braku autoryzacji, która pozwala nieuwierzytelnionym zdalnym atakującym na tworzenie domyślnych rekordów terminów w dowolnym projekcie poprzez wykorzystanie niezabezpieczonych punktów końcowych API dla historyjek użytkownika, zadań i zgłoszeń. Atakujący mogą podać dowolny identyfikator projektu, co omija sprawdzanie uprawnień i stosuje domyślne ustawienie AllowAny, aby przejąć inicjatywę przed administratorami projektu.

PoprzedniaStrona 4 z 489Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS