Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-13497
Średnie

W systemie zarządzania szpitalem itsourcecode w wersji 1.0 wykryto podatność SQL Injection w pliku /appointment.php. Nieznana funkcja tego pliku nieprawidłowo przetwarza argument editid, co umożliwia zdalne wstrzyknięcie kodu SQL. Exploit został publicznie ujawniony i może być wykorzystany.

CVE-2026-13496
Średnie

W systemie Hospital Management System 1.0 znaleziono podatność SQL Injection w pliku /ajaxmedicine.php. Atakujący może zdalnie manipulować argumentem medicineid, co prowadzi do wstrzyknięcia SQL. Exploit został opublikowany, co zwiększa ryzyko ataku.

CVE-2026-13495
Średnie

W systemie zarządzania szpitalem itsourcecode Hospital Management System 1.0 znaleziono podatność SQL injection w pliku /adminprofile.php. Atakujący może zdalnie manipulować argumentem loginid, co prowadzi do wstrzyknięcia SQL.

CVE-2026-13484
Średnie

W MLflow do wersji 4666cffc7912ea606d592fc38d6a75e2935f65e7 wykryto brak autoryzacji w API CRUD dla schematów etykiet w zakresie eksperymentu. Luka umożliwia zdalne manipulowanie danymi bez odpowiedniego uwierzytelnienia, choć jej wykorzystanie jest trudne ze względu na wysoką złożoność ataku.

CVE-2026-58058
Średnie

Podatność w Nmap do wersji 7.99 powoduje, że funkcja ipv6_get_data_primitive nie kontroluje poprawnie granic nagłówków rozszerzeń IPv6, co prowadzi do odczytu poza zakresem bufora. Atakujący może wysłać spreparowaną odpowiedź IPv6 z obciętym nagłówkiem rozszerzenia, wywołując awarię skanera.

CVE-2026-58057
Średnie

Podatność w Flowise przed wersją 3.1.3 umożliwia ominięcie listy zablokowanych zmiennych środowiskowych dla węzłów Custom MCP stdio. Na systemie Windows, gdzie nazwy zmiennych środowiskowych nie rozróżniają wielkości liter, podanie 'node_options' pozwala ominąć blokadę dla 'NODE_OPTIONS' i wstrzyknąć kod.

CVE-2026-58055
Średnie

Podatność w nghttp2 nghttpx do wersji 1.69.0 powoduje, że żądanie HTTP/1.1 Upgrade zawierające nagłówek Content-Length i ciało jest przekazywane na ponownie używane połączenia backendowe. Backend interpretujący tę niejednoznaczną wiadomość na korzyść atakującego umożliwia przemycanie żądań/odpowiedzi HTTP oraz zatruwanie kolejki odpowiedzi między klientami.

CVE-2026-58051
Średnie

W bibliotece libssh2 w wersjach do 1.11.1 włącznie, podczas rozszerzania listy kluczy publicznych za pomocą SSH2_REALLOC, nowe wpisy nie są zerowane przed ich wypełnieniem. W przypadku błędu parsowania, ścieżka czyszczenia może operować na niezainicjalizowanym wpisie, co prowadzi do wywołania free na nieprzewidywalnym wskaźniku attrs, który może być kontrolowany przez atakującego.

CVE-2026-45259
Średnie

Podatność w implementacji sigqueue(2) w FreeBSD pozwala procesowi w trybie capability mode na wysyłanie sygnałów do dowolnych procesów, z pominięciem ograniczeń sandboksowania Capsicum. Brakuje sprawdzenia, czy docelowy PID należy do tego samego procesu, co umożliwia atakującemu wpływanie na inne procesy.

CVE-2026-9242
Średnie

Wtyczka RegistrationMagic dla WordPressa do wersji 6.0.8.6 zawiera podatność umożliwiającą ominięcie uwierzytelniania. Wynika to z braku weryfikacji autentyczności danych w handlerze PayPal IPN, który jest dostępny dla niezalogowanych użytkowników i aktualizuje bazę danych przed walidacją IPN. Atakujący może sfałszować żądanie IPN, nadpisać identyfikator użytkownika w rekordzie płatności, a następnie uzyskać sesję uwierzytelniającą dla dowolnego konta, w tym administratora.

CVE-2026-9233
Średnie

Wtyczka Quiz and Survey Master (QSM) – Easy Quiz and Survey Maker dla WordPressa jest podatna na obejście autoryzacji we wszystkich wersjach do 11.1.4 włącznie. Podatność wynika z niewłaściwego weryfikowania uprawnień użytkownika przed wykonaniem akcji, co pozwala uwierzytelnionym atakującym z dostępem na poziomie współautora i wyższym na tworzenie, modyfikowanie i usuwanie szablonów wyników quizów w tabeli bazy danych mlw_quiz_output_templates, w tym przechowywanie niesanityzowanego kodu HTML, takiego jak dowolne znaczniki skryptów.

CVE-2026-3462
Średnie

Wtyczka Frisbii Pay dla WordPressa jest podatna na nieautoryzowaną modyfikację danych z powodu braku kontroli uprawnień w funkcjach 'upload_csv' i 'process_batch' we wszystkich wersjach do 1.8.9 włącznie. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie Subskrybenta i wyższym przesyłanie dowolnych danych CSV oraz nadpisywanie tokenów płatności WooCommerce, rekordów postmeta i meta zamówień.

CVE-2026-13295
Średnie

Wtyczka Page Builder by SiteOrigin dla WordPressa do wersji 2.34.3 zawiera podatność na trwałe ataki XSS przez parametr panels_data. Brak odpowiedniej sanitizacji wejścia i eskejpowania wyjścia umożliwia uwierzytelnionym atakującym z dostępem na poziomie Współautora i wyższym wstrzyknięcie dowolnych skryptów, które wykonają się przy dostępie do zainfekowanej strony.

CVE-2026-12471
Średnie

Motyw Spexo dla WordPressa jest podatny na nieautoryzowany dostęp z powodu braku sprawdzenia uprawnień w funkcji activate_plugin. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie Subskrybenta lub wyższym aktywowanie ograniczonego zestawu wtyczek.

CVE-2026-12432
Średnie

Wtyczka WP Full Stripe Free dla WordPressa do wersji 8.4.3 włącznie zawiera brak autoryzacji w akcji AJAX wpfs_update_failed_payment_status. Niezautoryzowani atakujący, znając poprawny identyfikator płatności Stripe, mogą manipulować rekordami płatności w bazie danych, oznaczając udane płatności jako nieudane i nadpisując kody błędów.

CVE-2026-12399
Średnie

Wtyczka Gutenverse dla WordPressa jest podatna na trwałe ataki XSS poprzez ustawienia administratora. Luka występuje we wszystkich wersjach do 3.8.0 włącznie z powodu niewystarczającego oczyszczania danych wejściowych i wyjściowych.

CVE-2026-11987
Średnie

Wtyczka Dokan dla WordPressa do 5.0.4 zawiera podatność na niebezpieczne bezpośrednie odwołanie do obiektu (IDOR) przez parametr 'id'. Uwierzytelnieni atakujący z dostępem na poziomie subskrybenta mogą odczytywać produkty innych sprzedawców, w tym nieopublikowane szkice i oczekujące ogłoszenia.

CVE-2026-11783
Średnie

Wtyczka Dokan dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez pole SKU produktu. Podatność występuje we wszystkich wersjach do 5.0.4 włącznie z powodu niewystarczającej sanitacji danych wejściowych i braku kodowania wyjścia. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie custom i wyższym wstrzyknięcie dowolnych skryptów, które wykonają się podczas przeglądania strony przez innych użytkowników.

CVE-2026-11773
Średnie

Wtyczka Masteriyo LMS dla WordPressa do wersji 2.2.1 włącznie zawiera lukę umożliwiającą ominięcie autoryzacji. Uwierzytelnieni atakujący z dostępem na poziomie studenta lub wyższym mogą modyfikować treść ogłoszeń kursów utworzonych przez instruktorów lub administratorów.

CVE-2026-11597
Średnie

Wtyczka Surbma | Infusionsoft Shortcode dla WordPressa zawiera podatność na trwałe ataki XSS w wersjach do 2.0.1 włącznie. Problem wynika z braku odpowiedniej sanitacji i kodowania wyjścia dla atrybutów 'account' i 'id' w shortcode'ie 'infusionsoft-form', które są bezpośrednio łączone z atrybutem src tagu <script>. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie współautora lub wyższym wstrzyknięcie dowolnych skryptów, które wykonają się przy każdym odwiedzeniu zainfekowanej strony.

PoprzedniaStrona 40 z 528Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS