Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
IBM WebSphere Application Server w wersjach 9.0 i 8.5 jest podatny na potencjalne zdalne wykonanie kodu z powodu deserializacji nieufnych danych przez punkty końcowe JAX-WS z WS-Security.
IBM WebSphere Application Server w wersjach 9.0 i 8.5 jest podatny na zdalne wykonanie kodu z powodu obejścia zabezpieczeń.
IBM WebSphere Application Server w wersjach 9.0 i 8.5 jest podatny na oszustwa tożsamości. Atakujący może wykorzystać tę podatność do podszywania się pod inne osoby.
Capsule to framework dla Kubernetes, który obsługuje wielo-tenancy i polityki. Kontroler Capsule działa z uprawnieniami cluster-admin, co pozwala administratorom tenantów na tworzenie zasobów o zasięgu klastra, co prowadzi do eskalacji uprawnień między tenantami oraz ataków na poziomie klastra przed wersją 0.13.0.
CloudPirates Open Source Helm Charts zawiera zestaw wykresów Helm. Przed poprawką w commit fcf9302, workflow GitHub Actions (generate-schema.yaml) ujawniał wrażliwe dane uwierzytelniające (token dostępu osobistego i klucz podpisu SSH) z powodu niebezpiecznych praktyk obsługi checkoutu i danych uwierzytelniających.
CloudPirates Open Source Helm Charts zawierał lukę, w której workflow GitHub Actions (pull-request.yaml) wykonywał kod kontrolowany przez atakującego z forków pull requestów w kontekście z uprawnieniami, co prowadziło do ujawnienia sekretów repozytorium, w tym poświadczeń i tokenów Docker Hub, bez potrzeby zatwierdzenia przez maintainerów. Problem został naprawiony w commicie fcf9302.
Cline to autonomiczny agent kodujący dostępny jako SDK, rozszerzenie IDE lub asystent CLI. W wersjach 2.13.0 i wcześniejszych występuje podatność na przejęcie WebSocket z różnych źródeł w serwerach Cline Kanban. W momencie publikacji nie ma dostępnych publicznie poprawek.
Podatność CVE-2026-42672 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w WP Directory Kit. Problem ten dotyczy wersji od n/a do 1.5.1.
Podatność związana z nieprawidłowym przypisaniem uprawnień w Sergey AIWU umożliwia eskalację uprawnień. Problem dotyczy wersji AIWU od n/a do 1.4.17.
Podatność typu 'Path Traversal' w Gravity Forms firmy Rocketgenius Inc. pozwala na nieprawidłowe ograniczenie ścieżki do zastrzeżonego katalogu. Dotyczy to wersji Gravity Forms od n/a do 2.10.0.1.
W wpForo Forum występuje luka związana z brakiem autoryzacji, która pozwala na wykorzystanie nieprawidłowo skonfigurowanych poziomów kontroli dostępu. Problem ten dotyczy wersji od n/a do 3.0.6.
Podatność CVE-2026-42680 dotyczy niewłaściwego przypisania uprawnień w aplikacji Contest Gallery Pro, co umożliwia eskalację uprawnień. Problem ten występuje w wersjach od n/a do 29.0.1.
W określonych scenariuszach, gdy administrator włączył Interaktywną Establizację Łączności (ICE), może wystąpić przepełnienie bufora, które umożliwia zdalne wykonanie kodu na produktach Poly Voice działających na platformie Linux.
Podatność na deserializację niezaufanych danych dotyczy Teamwork Cloud od No Magic w wersjach od 2022x do 2026x oraz Magic Collaboration Studio od CATIA Magic w wersjach od 2022x do 2026x. Może prowadzić do zdalnego wykonania kodu bez uwierzytelnienia.
Dokumentacja Apache Airflow zawierała przykład użycia `BashOperator` bez ostrzeżenia o konieczności cytowania/sanitizacji, co mogło prowadzić do wstrzyknięcia metacharakterów powłoki. Użytkownicy z uprawnieniami `Dag.can_trigger` mogli wykorzystać ten błąd, aby wykonać złośliwy kod na serwerze roboczym.
W podatności CVE-2026-48188 występuje nieprawidłowa walidacja danych wejściowych w module warstwy bazy danych OTRS, co pozwala na nieautoryzowaną injekcję SQL prowadzącą do obejścia uwierzytelniania. Problem ten występuje tylko wtedy, gdy serwer MySQL/MariaDB jest skonfigurowany z trybem SQL NO_BACKSLASH_ESCAPES.
Wykryto podatność w urządzeniu Totolink N300RH w wersji 6.1c.1353_B20190305. Problem dotyczy funkcji setWiFiBasicConfig w pliku wireless.so interfejsu zarządzania przez sieć, gdzie manipulacja argumentem KeyStr prowadzi do przepełnienia bufora na stosie.
Delta Sql w wersji 1.8.2 zawiera podatność na nieautoryzowane przesyłanie plików, która pozwala atakującym na przesyłanie złośliwych plików poprzez wysyłanie żądań POST do docs_upload.php z odpowiednio skonstruowanymi danymi formularza wieloczęściowego. Atakujący mogą przesyłać pliki PHP z dowolną zawartością do katalogu przesyłania i wykonywać je na serwerze, co prowadzi do zdalnego wykonania kodu.
FreeRDP przed wersją 3.26.0 zawiera podatność na zapis poza zakresem sterty w dekoderze bitmap planarnych. Błąd występuje w funkcji freerdp_bitmap_decompress_planar(), która nieprawidłowo waliduje współrzędne docelowe, umożliwiając atakującemu zapis poza buforem wewnętrznym pTempData.
Formie to wtyczka Craft CMS służąca do tworzenia formularzy. W wersjach przed 2.2.20 i 3.1.24, nieautoryzowani użytkownicy mogli przesyłać spreparowane wartości do ukrytych pól, które były oceniane jako Twig podczas obsługi przesyłania, co mogło prowadzić do poważnego kompromitowania witryny Craft.

