Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-48943
Średnie

Podatność w systemie K2 (wersja ≤ 2.24) umożliwia atak typu mass-assignment w wtyczce użytkownika `plg_user_k2`. Zarejestrowany użytkownik Joomla może, dodając pole `K2UserForm=1` do standardowego żądania POST `com_users` `profile.save`, zapisać dowolne wartości w kolumnach `notes`, `image` i `plugins` swojego wiersza w tabeli `#__k2_users`, które nie są dostępne w formularzu edycji profilu K2.

CVE-2026-48942
Średnie

Wtyczka K2 w wersji 2.26 i starszej wyświetla zawartość kolumny `#__k2_users.image` bezpośrednio w atrybutach `src` znaczników HTML w dwóch różnych szablonach, bez żadnego kodowania HTML.

CVE-2026-48941
Średnie

Podatność w komponencie K2 dla Joomla! umożliwia nieuwierzytelnionemu atakującemu usunięcie dowolnego katalogu poprzez parametr `sigProFolder` w zadaniu `item.checkin`. Atakujący może wykorzystać tę lukę do usunięcia katalogów galerii w ścieżce `/media/k2/galleries/`.

CVE-2026-6432
Średnie

Nieprawidłowa walidacja granic w wersjach 9.0.2 i wcześniejszych SDK EmberZNet może prowadzić do awarii lub wycieków pamięci dynamicznej.

CVE-2026-57587
Średnie

Podatność SQL injection w Nessus pozwala zdalnemu, nieuwierzytelnionemu atakującemu, który kontroluje rekordy odwrotnego DNS dla skanowanego hosta, na wstrzyknięcie złośliwego SQL do bazy danych wyników skanowania, co może umożliwić wyciek danych wyników skanowania.

CVE-2026-57536
Średnie

Integracja płatności z Mollie nieprawidłowo walidowała odpowiedzi dotyczące statusu płatności. Atakujący mógł wykorzystać odpowiedź o udanej płatności dla jednej transakcji i dostarczyć ją do systemu dla innej płatności, uzyskując dostęp do wielu ważnych biletów za pomocą tylko jednej płatności.

CVE-2026-57437
Średnie

Podatność w bibliotece Nokogiri dla języka Ruby (wersje przed 1.19.4) powoduje, że obiekt Nokogiri::XML::XPathContext nie utrzymuje przy życiu źródłowego dokumentu XML dla mechanizmu odśmiecania pamięci. Jeśli kontekst XPath przetrwa dłużej niż dokument, a dokument zostanie usunięty przez garbage collector, wykonanie wyrażenia XPath może odczytać nieprawidłową pamięć i potencjalnie spowodować segfault.

CVE-2026-57436
Średnie

Podatność w bibliotece Nokogiri dla języka Ruby umożliwia ustawienie węzła DTD jako korzenia dokumentu XML, co prowadzi do użycia pamięci po jej zwolnieniu (use-after-free) podczas działania garbage collectora lub finalizacji. Skutkuje to nieprawidłowym odczytem pamięci lub potencjalnym segfaultem.

CVE-2026-49319
Średnie

System zdalnego bezkluczykowego dostępu (RKES) wykorzystujący kluczyk 433 MHz z identyfikatorem FCC ID CWTR53R0, wyprodukowany przez ALPS ALPINE CO., LTD., jest podatny na atak typu roll-back na uwierzytelnianie kodu zmiennego. Atakujący w zasięgu RF, który zarejestruje dwie kolejne transmisji blokady lub odblokowania z legalnego kluczyka, może później wielokrotnie odtworzyć tę samą parę transmisji, co skutkuje udanym zablokowaniem lub odblokowaniem pojazdu.

CVE-2026-13225
Średnie

Podatność umożliwia wstrzyknięcie złośliwego kodu HTML do adresu e-mail zamówienia, który pretix wyświetla bez sanityzacji na stronie potwierdzenia dla poszczególnych biletów w tym zamówieniu.

CVE-2026-13223
Średnie

Integracja płatności z metodami opartymi na Computop nieprawidłowo walidowała odpowiedzi o statusie płatności. Atakujący mógł wykorzystać odpowiedź o udanej płatności dla jednej transakcji i dostarczyć ją do systemu dla innej płatności, uzyskując dostęp do wielu ważnych biletów za jedną opłatą.

CVE-2026-13222
Średnie

Integracja płatności z metodami płatności opartymi na Oppwa nieprawidłowo walidowała odpowiedzi dotyczące statusu płatności. Atakujący mógł wykorzystać odpowiedź o udanej płatności dla jednej transakcji i dostarczyć ją systemowi dla innej płatności, uzyskując dostęp do wielu ważnych biletów za pomocą tylko jednej płatności.

CVE-2026-57619
Średnie

Wtyczka Elementor Website Builder w wersji 4.1.3 i starszych zawiera podatność na ujawnienie wrażliwych danych współtwórców. Luka ta może pozwolić atakującemu na dostęp do poufnych informacji przechowywanych przez wtyczkę.

CVE-2026-57429
Średnie

Wtyczka Slim SEO w wersjach do 4.6.2 zawiera podatność polegającą na złamaniu kontroli dostępu dla współautorów. Osoba z rolą współautora może uzyskać nieuprawniony dostęp do funkcji zarządzania SEO.

CVE-2026-56050
Średnie

Wtyczka PPOM dla WooCommerce zawiera podatność polegającą na nieprawidłowej kontroli dostępu, co umożliwia wykorzystanie błędnie skonfigurowanych poziomów zabezpieczeń. Problem dotyczy wersji od n/a do 33.0.18.

CVE-2026-56023
Średnie

Wtyczka UPI QR Code Payment Gateway dla WooCommerce w wersji 1.6.2 i starszych zawiera podatność polegającą na złamaniu kontroli dostępu przez klienta. Umożliwia to nieautoryzowanym użytkownikom manipulację procesem płatności.

CVE-2026-56013
Średnie

Wtyczka License Manager for WooCommerce w wersji 3.0.15 i starszych zawiera podatność na nieuwierzytelnione niebezpieczne bezpośrednie odwołania do obiektów (IDOR). Umożliwia to atakującemu dostęp do wrażliwych danych bez wymaganego uwierzytelnienia.

CVE-2026-52690
Średnie

Podatność umożliwia fałszowanie odpowiedzi do rekursora, co może spowodować oznaczenie adresu IP autorytatywnego serwera jako nieobsługującego EDNS. W rezultacie walidacja rekordów DNSSEC pochodzących z tego serwera może zakończyć się niepowodzeniem.

CVE-2026-4526
Średnie

W EmberZNet w wersji 9.0.2 i wcześniejszych, źle sformułowane globalne wiadomości ZCL mogą powodować odczyty poza zakresem w logice parsowania frameworka, co prowadzi do zakończenia procesu. Wiadomości te muszą pochodzić z urządzenia, które już dołączyło do sieci.

CVE-2026-47154
Średnie

W EmberZNet w wersji 9.0.2 i wcześniejszych, źle sformułowana wiadomość GetProfileResponse może prowadzić do odczytów poza zakresem podczas iteracji po wpisach interwałowych, co skutkuje zakończeniem procesu. Tego typu wiadomości muszą pochodzić z urządzenia, które już dołączyło do sieci.

PoprzedniaStrona 43 z 519Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS