Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2025-6254
Krytyczne

Wtyczka Doctreat Core dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do 1.6.8 włącznie. Funkcja doctreat_process_registration() nie ogranicza prawidłowo ról, które użytkownik może zarejestrować.

CVE-2026-9067
Krytyczne

Wtyczka Schema & Structured Data for WP & AMP dla WordPressa przed wersją 1.60 nie sprawdza uprawnień użytkowników w swoich handlerach AJAX do przesyłania plików oraz nie weryfikuje rzeczywistej zawartości przesyłanych plików w odniesieniu do zamierzonego typu mediów, co pozwala nieautoryzowanym użytkownikom na przesyłanie dowolnych typów plików akceptowanych przez bibliotekę mediów WordPressa.

CVE-2026-26241
Krytyczne

Zgłoszono podatność typu przepełnienie bufora w File Station 5, która może być wykorzystana przez zdalnych atakujących do modyfikacji pamięci lub awarii procesów.

CVE-2026-26240
Krytyczne

Zgłoszono podatność typu przepełnienia bufora w File Station 5, która może być wykorzystana przez zdalnych atakujących do modyfikacji pamięci lub awarii procesów.

CVE-2025-66276
Krytyczne

Podatność została naprawiona w wersji QTS 5.2.7.3256 build 20250913 i późniejszych. QuTS hero nie jest dotknięty tą podatnością.

CVE-2026-45328
Krytyczne

W komponentach esp_tee w wersjach 5.5.4 i 6.0 frameworka ESF-IDF występuje podatność, która umożliwia nieautoryzowany dostęp do zabezpieczonych usług sprzętowych. Problem ten został naprawiony w wersjach 5.5.5 i 6.0.1.

CVE-2026-44963
KrytyczneEPSS 70%

Podatność umożliwiająca zdalne wykonanie kodu (RCE) na serwerze kopii zapasowej przez uwierzytelnionego użytkownika domeny.

CVE-2026-48303
KrytyczneEPSS 66%

Adobe Campaign Classic (ACC) w wersjach 7.4.3 build 9394 i wcześniejszych jest podatny na lukę związaną z nieprawidłową autoryzacją, co może prowadzić do wykonania dowolnego kodu w kontekście bieżącego użytkownika. Wykorzystanie tej luki nie wymaga interakcji ze strony użytkownika.

CVE-2026-47938
Krytyczne

Adobe Campaign Classic (ACC) w wersjach 7.4.3 build 9394 i wcześniejszych zawiera podatność typu Server-Side Request Forgery (SSRF), która może prowadzić do eskalacji uprawnień. Wykorzystanie tej podatności nie wymaga interakcji użytkownika.

CVE-2026-47928
KrytyczneEPSS 82%

Wersje ColdFusion 2023.19, 2025.8 i wcześniejsze są podatne na lukę związaną z niewłaściwą walidacją danych wejściowych, co może prowadzić do wykonania dowolnego kodu w kontekście aktualnego użytkownika. Wykorzystanie tej luki nie wymaga interakcji ze strony użytkownika.

CVE-2026-36727
Krytyczne

Wersja 8.3 aplikacji bookcars zawiera podatność na niebezpieczną autoryzację w punkcie końcowym /api/social-sign-in, co pozwala atakującym na ominięcie autoryzacji za pomocą sfałszowanego tokena JWT.

CVE-2026-36721
Krytyczne

Brak weryfikacji podpisu kryptograficznego w funkcji validateAccessToken w bookcars v8.3 umożliwia atakującym ominięcie uwierzytelnienia za pomocą sfałszowanego tokena JWT.

CVE-2026-30141
Krytyczne

W wersji 2.2.0 biblioteki bitbank2 AnimatedGIF odkryto problem związany z przepełnieniem bufora w funkcji DecodeLZW. Umożliwia to zdalnym atakującym spowodowanie awarii systemu lub potencjalne wykonanie dowolnego kodu poprzez spreparowany plik GIF.

CVE-2026-10045
Krytyczne

Router firmy Shenzhen Kangda Xin Intelligent Network Technology, model DR300, w wersji 2.1.2.121, zawiera twardo zakodowane dane logowania oraz ma domyślnie włączony telnet na interfejsach WAN i LAN. Te podatności umożliwiają atakującym odczyt i zapis w pamięci, modyfikację oprogramowania układowego, inspekcję aktywnych połączeń oraz przeglądanie aktualnie podłączonych urządzeń.

CVE-2026-34691
Krytyczne

Adobe Experience Manager Forms JEE w wersjach LTS SP1, 6.5.24.0 i wcześniejszych zawiera podatność na przechowywane Cross-Site Scripting (XSS), która może być wykorzystana przez atakującego do wstrzykiwania złośliwych skryptów do podatnych pól formularzy.

CVE-2026-49841
Krytyczne

W FreeSWITCH przed wersją 1.11.1 występuje podatność w obsłudze żądań HTTP mod_verto, która prowadzi do przepełnienia bufora na stercie. Z powodu nieodpowiedniego ograniczenia rozmiaru bufora, atakujący może wykorzystać tę lukę do przepełnienia bufora o wielkości do ~8 MiB.

CVE-2026-49840
Krytyczne

W wersjach przed 1.11.1 FreeSWITCH ma podatność w funkcji esl_recv_event(), która nie sprawdza poprawności wartości Content-Length. Złośliwy użytkownik lub atakujący typu man-in-the-middle może wysłać ramkę z ujemną wartością Content-Length, co może prowadzić do uszkodzenia sterty lub awarii procesu.

CVE-2026-47643
Krytyczne

W Azure Stack Edge występuje podatność, która pozwala na zewnętrzną kontrolę nazwy pliku lub ścieżki, co umożliwia nieautoryzowanemu atakującemu wykonanie kodu przez sieć.

CVE-2026-47291
Krytyczne

Przepełnienie lub owinięcie licznika w Windows HTTP.sys umożliwia nieautoryzowanemu atakującemu wykonanie kodu przez sieć.

CVE-2026-47281
Krytyczne

Nieprawidłowa walidacja danych wejściowych w Visual Studio Code umożliwia nieautoryzowanemu atakującemu podniesienie uprawnień przez sieć.

PoprzedniaStrona 45 z 556Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS