Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-47367
Krytyczne

W UID Enterprise Agent zidentyfikowano podatność na niewłaściwą walidację danych wejściowych, która może być wykorzystana przez złośliwego aktora z dostępem do sieci i niskimi uprawnieniami do wykonania ataku typu Command Injection na urządzeniu gospodarza.

CVE-2026-47365
Krytyczne

W podatności CVE-2026-47365 w WordPress Toolkit przed wersją 6.11.0, używanym w cPanel i WHM, występuje luka związana z wstrzykiwaniem argumentów. Umożliwia to zdalnym, uwierzytelnionym użytkownikom ominięcie autoryzacji między najemcami i wykonywanie dowolnych poleceń CLI wp-toolkit jako inny użytkownik.

CVE-2026-45060
Krytyczne

ClipBucket v5 to otwarta platforma do udostępniania wideo, która przed wersją 5.5.3 - #129 była podatna na ślepą injekcję SQL w punkcie końcowym actions/progress_video.php. Nieautoryzowani użytkownicy mogli wykorzystać parametr ids do wykonywania zapytań SQL i wykradania wrażliwych danych.

CVE-2026-42846
Krytyczne

ClipBucket v5 to otwartoźródłowa platforma do udostępniania wideo. W wersjach przed 5.5.3 - #140, funkcja Remote Play pozwalała na dodawanie wideo przez importowanie zewnętrznego URL, co prowadziło do wykonania dowolnych poleceń systemowych z powodu braku odpowiedniego zabezpieczenia URL.

CVE-2026-49060
Krytyczne

W aplikacji mobilnej Hippoo dla WooCommerce występuje podatność związana z nieprawidłowym przypisaniem uprawnień, co umożliwia eskalację uprawnień.

CVE-2026-42647
KrytyczneEPSS 90%

W podatności CVE-2026-42647 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w aplikacji Beardev JoomSport.

CVE-2026-39494
Krytyczne

Podatność typu SQL Injection w wtyczce Product Filter od WBW umożliwia przeprowadzenie ataku Blind SQL Injection. Problem dotyczy wersji od n/a do 3.1.2.

CVE-2026-12027
Krytyczne

Nieodpowiednia implementacja w trybie Headless w Google Chrome przed wersją 149.0.7827.115 umożliwiła zdalnemu atakującemu, który przejął proces renderowania, potencjalne wykonanie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.

CVE-2026-41005
Krytyczne

Cloud Foundry UAA błędnie traktował szyfrowanie XML jako substytut podpisów XML w dwóch przepływach SAML, co może prowadzić do akceptacji niepodpisanych asercji zawierających zaszyfrowane treści. Problem występuje, gdy wantAssertionSigned jest ustawione na false.

CVE-2026-49973
Krytyczne

Hermes WebUI przed wersją 0.51.358 zawiera podatność na niewłaściwą kontrolę dostępu, która pozwala nieautoryzowanym atakującym zdalnym na przejęcie początkowej konfiguracji poprzez przesłanie parametru _set_password do punktu końcowego API ustawień bez żadnych ograniczeń dotyczących pochodzenia sieciowego.

CVE-2026-47174
Krytyczne

W Duck Site przed wersją 1.0.1 występuje podatność związana z procesem wdrażania, który może zostać uruchomiony przez złośliwy kod w pull request. Atakujący może wykorzystać tę lukę, aby wdrożyć złośliwy obraz Dockera na produkcję bez konieczności scalania kodu.

CVE-2026-47172
Krytyczne

Quest Bot to nowoczesny bot Discord, który przed wersją 1.0.3 miał uprzywilejowany proces wdrażania. Atakujący mógł wykorzystać pull request z gałęzi main, co pozwalało na wdrożenie złośliwego kodu w kontekście uprzywilejowanym.

CVE-2026-45177
Krytyczne

Wersje Idira Secrets Manager SaaS Edge przed 1.8 mają niewłaściwą kontrolę dostępu w swoich wewnętrznych komponentach uwierzytelniania. Zdalny, nieautoryzowany atakujący może wykorzystać to, wysyłając specjalnie przygotowane żądanie, co może prowadzić do obejścia weryfikacji tożsamości.

CVE-2026-49261
KrytyczneEPSS 58%

Podatność w MariaDB Server umożliwia wykonanie dowolnych poleceń powłoki osadzonych w nazwie węzła dołączającego do klastra Galera, gdy opcja `wsrep_notify_cmd` jest włączona. Problem dotyczy wielu wersji MariaDB od 10.6.1 do 12.3.1.

CVE-2026-9648
Krytyczne

Biblioteka Haskell crypton-x509-validation nie egzekwuje ograniczeń nazw X.509, co pozwala klientom TLS akceptować certyfikaty, których alternatywne nazwy podmiotu znajdują się poza dozwolonymi poddrzewami wydającego CA.

CVE-2026-11839
Krytyczne

Podatność w Rotaban firmy Başarsoft Information Technologies Inc. umożliwia nieograniczone przesyłanie plików z niebezpiecznymi typami, co pozwala na przesłanie powłoki sieciowej na serwer WWW.

CVE-2026-38581
Krytyczne

W podatności CVE-2026-38581 występuje luka typu SQL Injection w damasac thaipalliative_lte w wersji do 3.0, która pozwala zdalnym atakującym na wykonywanie dowolnych poleceń SQL poprzez parametry idFormMain i id w pliku ezform.php.

CVE-2026-7852
Krytyczne

W systemie LimRAD NAC firmy Limatek System Inc. występuje podatność na nieograniczone przesyłanie plików z niebezpiecznymi typami, co umożliwia zdalne włączenie kodu.

CVE-2026-11561
Krytyczne

W podatności CVE-2026-11561 występuje niewłaściwe neutralizowanie specjalnych elementów używanych w wyrażeniach języka, co prowadzi do możliwości wstrzyknięcia kodu w oprogramowaniu Apinizer firmy Soagen Informatics Technologies Software and Consulting Inc.

CVE-2026-4764
Krytyczne

W podatności CVE-2026-4764 występuje brak autoryzacji w funkcjonalności importu playbooków w Dialogflow CX na Google Cloud Platform. Umożliwia to uwierzytelnionemu użytkownikowi z określonymi rolami eskalację uprawnień i potencjalne przejęcie projektu GCP za pomocą złośliwie skonstruowanego importu playbooka.

PoprzedniaStrona 43 z 556Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS