Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-44631
Krytyczne

W podatności CVE-2026-44631 występuje problem z nadpisywaniem bufora w serwerze Apache HTTP, spowodowany przez specjalnie skonstruowane wyrażenia regularne w konfiguracji. Dotyczy to wersji od 2.4.0 do 2.4.67.

CVE-2026-42861
Krytyczne

W Flowise, przed wersją 3.1.2, występuje podatność na masowe przypisanie w punkcie końcowym aktualizacji zmiennych. Umożliwia to uwierzytelnionym użytkownikom modyfikację właściwości kontrolowanych przez serwer, co może prowadzić do naruszenia izolacji najemców w środowiskach wielo-obsługowych.

CVE-2026-42535
Krytyczne

Problem z obsługą ścieżek w mod_dav_fs w Apache 2.4.67 i wcześniejszych wersjach pozwala autorowi treści WebDAV na bezpośrednią manipulację zaufanymi bazami danych właściwości DAV, co może prowadzić do awarii procesów potomnych.

CVE-2026-29167
Krytyczne

W podatności typu Use After Free w serwerze Apache HTTP z modułem mod_ldap w konfiguracji per-directory, może dojść do nieautoryzowanego dostępu do pamięci. Problem dotyczy wersji Apache HTTP Server od 2.4.0 do 2.4.67.

CVE-2026-50751
KrytyczneAktywnie exploitowaneEPSS 94%

Słabość w logice walidacji certyfikatów w zdalnym dostępie i mobilnym dostępie w przestarzałym wymianie kluczy IKEv1 pozwala nieautoryzowanemu zdalnemu atakującemu na ominięcie uwierzytelnienia użytkownika i nawiązanie połączenia VPN bez ważnego hasła użytkownika.

CVE-2026-11499
Krytyczne

W Tenda HG7HG9 i HG10 300001138_en_xpon zidentyfikowano podatność, która dotyczy funkcji formDOMAINBLK w pliku /boaform/formDOMAINBLK. Manipulacja argumentem blkDomain może prowadzić do przepełnienia bufora na stosie.

CVE-2024-58349
Krytyczne

Motyw WordPress Travelscape w wersji 1.0.3 zawiera podatność na nieautoryzowane przesyłanie plików, co pozwala atakującym na przesyłanie złośliwych plików poprzez niewystarczającą walidację funkcji przesyłania w motywie. Atakujący mogą przesyłać dowolne pliki do katalogu motywu i wykonywać je, co prowadzi do zdalnego wykonania kodu na zainfekowanej instalacji WordPress.

CVE-2024-58348
Krytyczne

Wtyczka WordPress Background Image Cropper w wersji 1.2 zawiera podatność na zdalne wykonanie kodu, która pozwala nieautoryzowanym atakującym na przesyłanie dowolnych plików poprzez dostęp do punktu końcowego ups.php. Atakujący mogą przesyłać pliki PHP za pomocą formularza przesyłania plików w katalogu wtyczki, co umożliwia wykonanie dowolnego kodu na serwerze.

CVE-2023-54352
Krytyczne

WordPress Seotheme zawiera podatność na zdalne wykonanie kodu, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnego kodu PHP poprzez przesyłanie złośliwych plików do katalogu motywu. Atakujący mogą uzyskać dostęp do przesłanego powłoki PHP pod adresem /wp-content/themes/seotheme/mar.php, aby wykonywać polecenia systemowe i przesyłać dodatkowe pliki dla trwałego dostępu.

CVE-2026-11429
KrytyczneEPSS 63%

Dwa punkty końcowe w Vault Service ScriptsController akceptują przesyłanie plików, gdzie komponent nazwy pliku dostarczony przez użytkownika jest używany do konstruowania ścieżki docelowej bez walidacji. To pozwala na zapis dowolnych plików w lokalizacjach, do których ma dostęp konto usługi.

CVE-2026-11423
Krytyczne

W Altium Enterprise Server Collaboration Service występuje podatność na traversję ścieżki z powodu niewłaściwego przetwarzania nazw plików dostarczonych przez użytkowników. Użytkownik z odpowiednimi uprawnieniami może przesłać wiadomość współpracy z przygotowaną nazwą pliku, co pozwala na odczyt dowolnych plików z systemu plików serwera.

CVE-2026-45779
KrytyczneEPSS 63%

W Open XDMoD w wersjach przed 10.0.3 występuje podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanemu zdalnemu atakującemu na wykonywanie dowolnych poleceń SQL. Wykorzystanie tej podatności nie wymaga uwierzytelnienia ani interakcji użytkownika.

CVE-2026-45777
Krytyczne

OpenXDMoD, otwarte ramy do zbierania i analizy metryk HPC, ma podatność, która pozwala atakującemu na zdalne wykonywanie dowolnych poleceń systemowych na serwerze WWW. Dotyczy to wersji od 9.5.0 do 11.0.2 włącznie.

CVE-2026-45758
Krytyczne

W dniu 11 maja 2026 roku opublikowano złośliwą wersję pakietu `guardrails-ai` (0.10.1) na PyPI, co mogło wpłynąć na użytkowników, którzy go zainstalowali. Badacze bezpieczeństwa zidentyfikowali złośliwy pakiet w ciągu około 2 godzin, a PyPI podjęło działania w celu jego kwarantanny.

CVE-2026-11420
Krytyczne

Dwie podatności typu path traversal w usłudze Network Installation Service (NIS) serwera Altium Enterprise pozwalają nieautoryzowanemu atakującemu na zapis dowolnych plików w dowolnej zapisywalnej lokalizacji na systemie plików serwera oraz na odczyt plików archiwów pakietów z serwera.

CVE-2026-11414
Krytyczne

W Altium Enterprise Server występuje podatność związana z używaniem twardo zakodowanego klucza kryptograficznego do podpisywania adresów URL pobierania plików. Klucz ten jest identyczny we wszystkich instalacjach, co pozwala nieautoryzowanym atakującym na fałszowanie podpisów i pobieranie plików z obszaru przechowywania Vault bez autoryzacji.

CVE-2026-46496
Krytyczne

HAX CMS, który zarządza mikrositami z backendami PHP lub NodeJs, ma podatność na przechowywane ataki XSS w wersjach przed 26.0.0. Problem wynika z niewłaściwego oczyszczania komponentu `<video-player>`, który pozwala na użycie URI `javascript:` w atrybucie `source`.

CVE-2026-46399
Krytyczne

HAX CMS w wersjach przed 26.0.0 posiada podatność na nadpisywanie plików, która wymaga uwierzytelnienia. Atakujący może wykorzystać tę podatność do skonfigurowania złośliwych poleceń Git, co prowadzi do wykonania kodu na serwerze HAX CMS.

CVE-2026-46396
Krytyczne

W HAX CMS, który zarządza mikrositami z backendami PHP lub NodeJs, występuje podatność na przechowywane ataki XSS w wersjach przed 26.0.0. Problem wynika z niewłaściwego oczyszczania elementów `<iframe>`, co pozwala na wykonanie złośliwego kodu JavaScript.

CVE-2026-46395
Krytyczne

HAX CMS, który zarządza mikrositami z backendem PHP lub Node.js, przed wersją 26.0.0 zawierał krytyczne błędy w implementacji kryptograficznej w funkcji `hmacBase64()`. Te błędy pozwalały nieautoryzowanym atakującym na wydobycie prywatnego klucza podpisywania systemu oraz fałszowanie tokenów JWT, co umożliwiało pełny dostęp administracyjny za pomocą jednego żądania HTTP.

PoprzedniaStrona 48 z 556Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS