Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-45898
Krytyczne

W jądrze Linux w podsystemie RDMA/iwcm wykryto podatność prowadzącą do uszkodzenia listy kolejki zadań. Problem wynika z błędnego założenia, że funkcja queue_work() nie doda zadania, jeśli jest już w kolejce, podczas gdy każdy wpis na liście wolnej jest unikalny. Skutkuje to przetwarzaniem wielu wpisów w jednym przebiegu, zwalnianiem ich i ponownym użyciem, co prowadzi do uszkodzenia listy i błędu jądra.

CVE-2026-35090
Krytyczne

W telefonicznych centralach Slican istnieje możliwość zdalnego zarządzania panelem sterowania. Nieautoryzowany atakujący może połączyć się z modemem za pomocą telefonu z określonym identyfikatorem dzwoniącego, co pozwala na ominięcie uwierzytelnienia administratora i uzyskanie pełnego dostępu do protokołu usług oraz panelu konfiguracyjnego.

CVE-2026-35087
Krytyczne

Wymienniki telefoniczne Slican umożliwiają obejście uwierzytelniania protokołu administracyjnego. Atakujący może ominąć konieczność wprowadzenia danych logowania, wykonując odpowiednią komendę.

CVE-2026-42761
Krytyczne

W podatności CVE-2026-42761 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w wtyczce Active Products Tables for WooCommerce w wersjach od n/a do 1.0.9.

CVE-2026-42758
Krytyczne

W podatności CVE-2026-42758 występuje nieprawidłowe przypisanie uprawnień w systemie WebinarIgnition, co umożliwia eskalację uprawnień. Problem dotyczy wersji WebinarIgnition od n/a do poniżej 4.08.253.

CVE-2026-42757
Krytyczne

W podatności CVE-2026-42757 występuje nieprawidłowe ograniczenie ścieżki do zastrzeżonego katalogu, co prowadzi do ataku typu 'Path Traversal' w aplikacji WebinarIgnition. Problem dotyczy wersji od n/a do poniżej 4.08.253.

CVE-2026-42756
Krytyczne

W podatności typu 'Path Traversal' w Ludwig You QuickWebP występuje niewłaściwe ograniczenie ścieżki do zastrzeżonego katalogu, co pozwala na nieautoryzowany dostęp do plików. Problem dotyczy wersji QuickWebP od n/a do 3.2.7.

CVE-2026-42755
Krytyczne

W podatności CVE-2026-42755 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w RealMag777 TableOn w wersjach od n/a do 1.0.5.1.

CVE-2026-42748
Krytyczne

Podatność w WPify Woo Czech umożliwia nieograniczone przesyłanie plików o niebezpiecznych typach, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem dotyczy wersji WPify Woo Czech od n/a do 5.4.1.

CVE-2026-42747
Krytyczne

W podatności CVE-2026-42747 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do podatności na Blind SQL Injection w Easy Form Builder. Problem dotyczy wersji od n/a do 4.0.6.

CVE-2026-42740
Krytyczne

W podatności CVE-2026-42740 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do podatności na atak typu Blind SQL Injection w systemie Tainacan. Problem dotyczy wersji Tainacan od n/a do 1.0.3.

CVE-2026-42731
Krytyczne

W podatności CVE-2026-42731 występuje nieprawidłowe przypisanie uprawnień w miniOrange OTP Verification, co umożliwia eskalację uprawnień. Problem dotyczy wersji od n/a do 5.4.9 włącznie.

CVE-2026-42727
Krytyczne

W podatności CVE-2026-42727 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w wtyczce Active Products Tables for WooCommerce w wersjach od n/a do 1.0.8.

CVE-2026-8054
Krytyczne

W dotCMS Core w wersjach od 25.11.04-1 do 26.04.28-02 występuje podatność na SQL Injection w punktach końcowych API Publish Audit, co pozwala zdalnym, nieautoryzowanym atakującym na odczyt, modyfikację lub zniszczenie dowolnej zawartości bazy danych.

CVE-2026-49002
Krytyczne

Błąd w kontroli dostępu pozwala nieautoryzowanym użytkownikom na dostęp do danych systemowych, w tym przeglądanie i modyfikowanie informacji konfiguracyjnych.

CVE-2025-12686
Krytyczne

W podatności CVE-2025-12686 występuje błąd przepełnienia bufora w AdminCenter systemu operacyjnego Synology BeeStation przed wersją 1.3.2-65648. Umożliwia on zdalnym atakującym wykonanie dowolnego kodu poprzez nieokreślone wektory.

CVE-2026-8760
Krytyczne

Wtyczka Logowanie z OTP dla WordPressa jest podatna na obejście uwierzytelniania we wszystkich wersjach do 1.6 włącznie. Problem wynika z niekompletnej poprawki dla CVE-2024-11178, co umożliwia atakującym brute-force na 6-cyfrowy OTP bez limitu czasowego.

CVE-2026-8450
KrytyczneEPSS 65%

Podatność w bibliotece HTTP::Daemon dla Perla przed wersją 6.17 umożliwia wstrzyknięcie poleceń systemowych przez funkcję send_file(). Funkcja ta otwiera argumenty za pomocą dwuargumentowej formy open(), która interpretuje prefiksy takie jak '| cmd' jako potok do podprocesu, co pozwala atakującemu na wykonanie dowolnych poleceń.

CVE-2026-44985
Krytyczne

Dozzle to narzędzie do podglądu logów w czasie rzeczywistym dla kontenerów Docker. W wersjach przed 10.5.2, mechanizm aktualizacji WebSocket dla punktów końcowych /exec i /attach akceptował żądania z dowolnego źródła, co prowadziło do możliwości przejęcia WebSocketów (CSWSH) przy użyciu ważnych ciasteczek JWT.

CVE-2026-44895
Krytyczne

Serwer GitLab MCP pozwala agentowi AI na bezpośrednią komunikację z GitLabem. W wersjach przed 0.6.0 transport HTTP nie zawierał warstwy uwierzytelniającej oraz miał wildcard Access-Control-Allow-Origin: * w każdej odpowiedzi, co stwarzało poważne luki w zabezpieczeniach.

PoprzedniaStrona 60 z 554Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS