Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
W jądrze Linux w podsystemie RDMA/iwcm wykryto podatność prowadzącą do uszkodzenia listy kolejki zadań. Problem wynika z błędnego założenia, że funkcja queue_work() nie doda zadania, jeśli jest już w kolejce, podczas gdy każdy wpis na liście wolnej jest unikalny. Skutkuje to przetwarzaniem wielu wpisów w jednym przebiegu, zwalnianiem ich i ponownym użyciem, co prowadzi do uszkodzenia listy i błędu jądra.
W telefonicznych centralach Slican istnieje możliwość zdalnego zarządzania panelem sterowania. Nieautoryzowany atakujący może połączyć się z modemem za pomocą telefonu z określonym identyfikatorem dzwoniącego, co pozwala na ominięcie uwierzytelnienia administratora i uzyskanie pełnego dostępu do protokołu usług oraz panelu konfiguracyjnego.
Wymienniki telefoniczne Slican umożliwiają obejście uwierzytelniania protokołu administracyjnego. Atakujący może ominąć konieczność wprowadzenia danych logowania, wykonując odpowiednią komendę.
W podatności CVE-2026-42761 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w wtyczce Active Products Tables for WooCommerce w wersjach od n/a do 1.0.9.
W podatności CVE-2026-42758 występuje nieprawidłowe przypisanie uprawnień w systemie WebinarIgnition, co umożliwia eskalację uprawnień. Problem dotyczy wersji WebinarIgnition od n/a do poniżej 4.08.253.
W podatności CVE-2026-42757 występuje nieprawidłowe ograniczenie ścieżki do zastrzeżonego katalogu, co prowadzi do ataku typu 'Path Traversal' w aplikacji WebinarIgnition. Problem dotyczy wersji od n/a do poniżej 4.08.253.
W podatności typu 'Path Traversal' w Ludwig You QuickWebP występuje niewłaściwe ograniczenie ścieżki do zastrzeżonego katalogu, co pozwala na nieautoryzowany dostęp do plików. Problem dotyczy wersji QuickWebP od n/a do 3.2.7.
W podatności CVE-2026-42755 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w RealMag777 TableOn w wersjach od n/a do 1.0.5.1.
Podatność w WPify Woo Czech umożliwia nieograniczone przesyłanie plików o niebezpiecznych typach, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem dotyczy wersji WPify Woo Czech od n/a do 5.4.1.
W podatności CVE-2026-42747 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do podatności na Blind SQL Injection w Easy Form Builder. Problem dotyczy wersji od n/a do 4.0.6.
W podatności CVE-2026-42740 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do podatności na atak typu Blind SQL Injection w systemie Tainacan. Problem dotyczy wersji Tainacan od n/a do 1.0.3.
W podatności CVE-2026-42731 występuje nieprawidłowe przypisanie uprawnień w miniOrange OTP Verification, co umożliwia eskalację uprawnień. Problem dotyczy wersji od n/a do 5.4.9 włącznie.
W podatności CVE-2026-42727 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w wtyczce Active Products Tables for WooCommerce w wersjach od n/a do 1.0.8.
W dotCMS Core w wersjach od 25.11.04-1 do 26.04.28-02 występuje podatność na SQL Injection w punktach końcowych API Publish Audit, co pozwala zdalnym, nieautoryzowanym atakującym na odczyt, modyfikację lub zniszczenie dowolnej zawartości bazy danych.
Błąd w kontroli dostępu pozwala nieautoryzowanym użytkownikom na dostęp do danych systemowych, w tym przeglądanie i modyfikowanie informacji konfiguracyjnych.
W podatności CVE-2025-12686 występuje błąd przepełnienia bufora w AdminCenter systemu operacyjnego Synology BeeStation przed wersją 1.3.2-65648. Umożliwia on zdalnym atakującym wykonanie dowolnego kodu poprzez nieokreślone wektory.
Wtyczka Logowanie z OTP dla WordPressa jest podatna na obejście uwierzytelniania we wszystkich wersjach do 1.6 włącznie. Problem wynika z niekompletnej poprawki dla CVE-2024-11178, co umożliwia atakującym brute-force na 6-cyfrowy OTP bez limitu czasowego.
Podatność w bibliotece HTTP::Daemon dla Perla przed wersją 6.17 umożliwia wstrzyknięcie poleceń systemowych przez funkcję send_file(). Funkcja ta otwiera argumenty za pomocą dwuargumentowej formy open(), która interpretuje prefiksy takie jak '| cmd' jako potok do podprocesu, co pozwala atakującemu na wykonanie dowolnych poleceń.
Dozzle to narzędzie do podglądu logów w czasie rzeczywistym dla kontenerów Docker. W wersjach przed 10.5.2, mechanizm aktualizacji WebSocket dla punktów końcowych /exec i /attach akceptował żądania z dowolnego źródła, co prowadziło do możliwości przejęcia WebSocketów (CSWSH) przy użyciu ważnych ciasteczek JWT.
Serwer GitLab MCP pozwala agentowi AI na bezpośrednią komunikację z GitLabem. W wersjach przed 0.6.0 transport HTTP nie zawierał warstwy uwierzytelniającej oraz miał wildcard Access-Control-Allow-Origin: * w każdej odpowiedzi, co stwarzało poważne luki w zabezpieczeniach.

