Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
W UID Enterprise Agent zidentyfikowano podatność na niewłaściwą walidację danych wejściowych, która może być wykorzystana przez złośliwego aktora z dostępem do sieci i niskimi uprawnieniami do wykonania ataku typu Command Injection na urządzeniu gospodarza.
W podatności CVE-2026-47365 w WordPress Toolkit przed wersją 6.11.0, używanym w cPanel i WHM, występuje luka związana z wstrzykiwaniem argumentów. Umożliwia to zdalnym, uwierzytelnionym użytkownikom ominięcie autoryzacji między najemcami i wykonywanie dowolnych poleceń CLI wp-toolkit jako inny użytkownik.
ClipBucket v5 to otwarta platforma do udostępniania wideo, która przed wersją 5.5.3 - #129 była podatna na ślepą injekcję SQL w punkcie końcowym actions/progress_video.php. Nieautoryzowani użytkownicy mogli wykorzystać parametr ids do wykonywania zapytań SQL i wykradania wrażliwych danych.
ClipBucket v5 to otwartoźródłowa platforma do udostępniania wideo. W wersjach przed 5.5.3 - #140, funkcja Remote Play pozwalała na dodawanie wideo przez importowanie zewnętrznego URL, co prowadziło do wykonania dowolnych poleceń systemowych z powodu braku odpowiedniego zabezpieczenia URL.
W aplikacji mobilnej Hippoo dla WooCommerce występuje podatność związana z nieprawidłowym przypisaniem uprawnień, co umożliwia eskalację uprawnień.
W podatności CVE-2026-42647 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w aplikacji Beardev JoomSport.
Podatność typu SQL Injection w wtyczce Product Filter od WBW umożliwia przeprowadzenie ataku Blind SQL Injection. Problem dotyczy wersji od n/a do 3.1.2.
Nieodpowiednia implementacja w trybie Headless w Google Chrome przed wersją 149.0.7827.115 umożliwiła zdalnemu atakującemu, który przejął proces renderowania, potencjalne wykonanie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.
Cloud Foundry UAA błędnie traktował szyfrowanie XML jako substytut podpisów XML w dwóch przepływach SAML, co może prowadzić do akceptacji niepodpisanych asercji zawierających zaszyfrowane treści. Problem występuje, gdy wantAssertionSigned jest ustawione na false.
Hermes WebUI przed wersją 0.51.358 zawiera podatność na niewłaściwą kontrolę dostępu, która pozwala nieautoryzowanym atakującym zdalnym na przejęcie początkowej konfiguracji poprzez przesłanie parametru _set_password do punktu końcowego API ustawień bez żadnych ograniczeń dotyczących pochodzenia sieciowego.
W Duck Site przed wersją 1.0.1 występuje podatność związana z procesem wdrażania, który może zostać uruchomiony przez złośliwy kod w pull request. Atakujący może wykorzystać tę lukę, aby wdrożyć złośliwy obraz Dockera na produkcję bez konieczności scalania kodu.
Quest Bot to nowoczesny bot Discord, który przed wersją 1.0.3 miał uprzywilejowany proces wdrażania. Atakujący mógł wykorzystać pull request z gałęzi main, co pozwalało na wdrożenie złośliwego kodu w kontekście uprzywilejowanym.
Wersje Idira Secrets Manager SaaS Edge przed 1.8 mają niewłaściwą kontrolę dostępu w swoich wewnętrznych komponentach uwierzytelniania. Zdalny, nieautoryzowany atakujący może wykorzystać to, wysyłając specjalnie przygotowane żądanie, co może prowadzić do obejścia weryfikacji tożsamości.
Podatność w MariaDB Server umożliwia wykonanie dowolnych poleceń powłoki osadzonych w nazwie węzła dołączającego do klastra Galera, gdy opcja `wsrep_notify_cmd` jest włączona. Problem dotyczy wielu wersji MariaDB od 10.6.1 do 12.3.1.
Biblioteka Haskell crypton-x509-validation nie egzekwuje ograniczeń nazw X.509, co pozwala klientom TLS akceptować certyfikaty, których alternatywne nazwy podmiotu znajdują się poza dozwolonymi poddrzewami wydającego CA.
Podatność w Rotaban firmy Başarsoft Information Technologies Inc. umożliwia nieograniczone przesyłanie plików z niebezpiecznymi typami, co pozwala na przesłanie powłoki sieciowej na serwer WWW.
W podatności CVE-2026-38581 występuje luka typu SQL Injection w damasac thaipalliative_lte w wersji do 3.0, która pozwala zdalnym atakującym na wykonywanie dowolnych poleceń SQL poprzez parametry idFormMain i id w pliku ezform.php.
W systemie LimRAD NAC firmy Limatek System Inc. występuje podatność na nieograniczone przesyłanie plików z niebezpiecznymi typami, co umożliwia zdalne włączenie kodu.
W podatności CVE-2026-11561 występuje niewłaściwe neutralizowanie specjalnych elementów używanych w wyrażeniach języka, co prowadzi do możliwości wstrzyknięcia kodu w oprogramowaniu Apinizer firmy Soagen Informatics Technologies Software and Consulting Inc.
W podatności CVE-2026-4764 występuje brak autoryzacji w funkcjonalności importu playbooków w Dialogflow CX na Google Cloud Platform. Umożliwia to uwierzytelnionemu użytkownikowi z określonymi rolami eskalację uprawnień i potencjalne przejęcie projektu GCP za pomocą złośliwie skonstruowanego importu playbooka.

