Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-58580
Średnie

Podatność w LobeChat do wersji 2.2.9 wdrożeń serwer-baza danych umożliwia nieautoryzowany dostęp do obiektów w modelu MessageModel. Metody updateMessagePlugin, updatePluginState, updatePluginError, updateTTS i updateTranslate filtrują docelowe wiersze wyłącznie po identyfikatorze wiadomości, pomijając zakres userId stosowany w innych metodach, a findMessagePlugin odczytuje dane tylko po id. Uwierzytelniony użytkownik znający identyfikator wiadomości innego użytkownika może nadpisać metadane wywołań narzędzi pluginu, stan/ błędy pluginu, rekordy zamiany tekstu na mowę i tłumaczenia ofiary, a zmodyfikowana treść jest zwracana ofierze.

CVE-2026-58579
Średnie

Podatność XSS w RAGFlow przed wersją 0.26.3 pozwala uwierzytelnionemu użytkownikowi na wstrzyknięcie dowolnego kodu JavaScript poprzez nazwę węzła potoku agenta (DSL). Kod wykonuje się w sesji innego członka obszaru roboczego, który otworzy wynik przepływu danych i kliknie przycisk ponownego uruchomienia.

CVE-2026-58578
Średnie

LobeChat przed wersją 2.2.10-canary.15 zawiera podatność na atak typu ReDoS (Regular Expression Denial of Service). Uwierzytelniony atakujący może zablokować pętlę zdarzeń Node.js poprzez dostarczenie złośliwego wzorca katastroficznego cofania w ścieżce URL repozytorium GitHub podczas importu umiejętności. Wzorzec ten jest wstrzykiwany do dynamicznie konstruowanego wyrażenia regularnego w funkcji findSkillMd, co powoduje zawieszenie usługi dla wszystkich użytkowników na dziesiątki sekund na żądanie.

CVE-2026-58381
Średnie

W parserze formatu PSP programu GIMP wykryto podwójne zwolnienie pamięci w funkcji read_layer_block(). Przetworzenie specjalnie spreparowanego pliku PSP może prowadzić do uszkodzenia pamięci.

CVE-2025-71385
Średnie

Podatność XSS w Netdata przed wersją 2.3.1 w endpointach api/v2/ilove.svg i api/v3/ilove.svg. Atakujący może wstrzyknąć złośliwy kod JavaScript poprzez parametr love, który jest odzwierciedlany w odpowiedzi SVG bez odpowiedniego kodowania. Endpointy są dostępne bez uwierzytelniania, co umożliwia zdalne wykonanie skryptu w przeglądarce ofiary.

CVE-2026-54891
Średnie

W bibliotece SSL Erlang/OTP (moduł tls_gen_connection) wykryto podatność polegającą na braku walidacji integralności wiadomości podczas transmisji. Atakujący w sieci może wysłać nieuwierzytelniony tekst jawny do klienta TLS podczas uzgadniania połączenia, który po zakończeniu uzgadniania jest traktowany przez aplikację jako uwierzytelnione dane serwera.

CVE-2026-54887
Średnie

W bibliotece SSL serwera DTLS w Erlang/OTP wykryto podatność polegającą na użyciu domyślnego, pustego klucza kryptograficznego do generowania ciasteczek DTLS podczas uruchamiania serwera. Powoduje to, że ciasteczka są przewidywalne, co umożliwia atakującemu ominięcie weryfikacji adresu źródłowego.

CVE-2026-54886
Średnie

Podatność nieskończonej pętli w module ssh_sftpd Erlang OTP pozwala uwierzytelnionemu użytkownikowi SFTP na trwałe zablokowanie kanału SFTP. Wysyłając dane rozszerzone (SSH_MSG_CHANNEL_EXTENDED_DATA) z niezerowym kodem typu, atakujący powoduje zapętlenie funkcji handle_data/4, co uniemożliwia dalszą komunikację na tym kanale.

CVE-2026-50282
Średnie

Craft CMS w wersjach od 5.0.0-RC1 do 5.9.21 oraz od 4.0.0-RC1 do 4.17.14 zawiera podatność autoryzacyjną, która umożliwia wymuszone przeniesienie folderu i usunięcie kolidującego folderu docelowego bez wymaganych uprawnień do jego usunięcia. Problem dotyczy funkcji actionMoveFolder() w kontrolerze AssetsController.

CVE-2026-12166
Średnie

W sterowniku `GFAC_Sys_x64.sys` firmy Little Orbit GFAC wykryto podatność polegającą na dereferencji wskaźnika NULL. Lokalny atakujący może wykorzystać spreparowane żądania, powodując awarię systemu i odmowę usługi (DoS).

CVE-2026-58653
Średnie

PraisonAI przed wersją 0.1.7 nie weryfikuje, czy identyfikator projektu (project_id) w żądaniach tworzenia i aktualizacji zgłoszeń należy do obszaru roboczego (workspace) wskazanego w URL. Atakujący może tworzyć zgłoszenia odnoszące się do projektów z innych obszarów roboczych, powodując zanieczyszczenie danych między dzierżawcami w agregacji statystyk projektów bez ograniczeń obszaru roboczego.

CVE-2026-4772
Średnie

W produkcie WAF-ASP firmy TR7 Cyber Defense Inc. wykryto podatność na trwałe ataki XSS (Cross-Site Scripting) spowodowaną niewłaściwą neutralizacją danych wejściowych podczas generowania strony internetowej. Problem dotyczy wersji od v1.0.324.900 do v1.4.0.117.

CVE-2026-4770
Średnie

W Web Application Firewall firmy TR7 Cyber Defense Inc. wykryto podatność na atak typu DOM-Based XSS, wynikającą z nieprawidłowej neutralizacji danych wejściowych podczas generowania strony. Problem dotyczy wersji od 1.0.42.239 do 1.4.0.117.

CVE-2026-57764
Średnie

Wtyczka Surbma | Yoast SEO Breadcrumb Shortcode w wersji 1.2 i starszych zawiera podatność na atak Cross Site Scripting (XSS) ze strony współtwórców. Umożliwia ona wstrzyknięcie złośliwego kodu JavaScript do strony przez nieautoryzowanego użytkownika.

CVE-2026-57763
Średnie

Wtyczka Structured Content w wersji 1.7.0 i starszych zawiera podatność na atak Cross Site Scripting (XSS) w funkcji Contributor. Umożliwia to atakującemu wstrzyknięcie złośliwego kodu JavaScript do strony.

CVE-2026-57762
Średnie

Wtyczka Simple URLs dla WordPressa w wersji 151 i wcześniejszych zawiera podatność na atak Cross Site Scripting (XSS) typu Author Stored. Oznacza to, że autor może wstrzyknąć złośliwy skrypt, który zostanie wykonany w przeglądarce administratora lub innego użytkownika.

CVE-2026-57760
Średnie

Wtyczka Sendcloud Shipping dla WordPressa zawiera brak autoryzacji, co pozwala na wykorzystanie nieprawidłowo skonfigurowanych poziomów kontroli dostępu. Podatność dotyczy wersji od n/a do 1.0.29.

CVE-2026-57755
Średnie

Wtyczka Mosaic Gallery – Advanced Gallery w wersji 1.2.0 i starszych zawiera podatność na atak Cross Site Scripting (XSS) w funkcji Contributor. Umożliwia ona atakującemu wstrzyknięcie złośliwego kodu JavaScript do strony.

CVE-2026-57754
Średnie

Wtyczka Livemesh Addons dla WPBakery Page Builder w wersji 3.9.4 i starszych zawiera podatność na atak Cross Site Scripting (XSS) w funkcjonalności Contributor. Umożliwia to atakującemu wstrzyknięcie złośliwego kodu JavaScript do strony.

CVE-2026-57753
Średnie

Wtyczka Kit (dawniej ConvertKit) dla WooCommerce w wersji 2.1.5 i starszych umożliwia nieuwierzytelnionym atakującym dostęp do wrażliwych danych. Podatność ta wynika z braku odpowiedniej kontroli dostępu do danych przechowywanych przez wtyczkę.

PoprzedniaStrona 5 z 489Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS