Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-12937
Wysokie

Wtyczka Tourfic – AI Powered Travel Booking, Hotel Booking & Car Rental dla WordPress jest podatna na ogólną iniekcję SQL poprzez parametr 'post_id' we wszystkich wersjach do 2.22.7 włącznie, z powodu niewystarczającego zabezpieczenia parametru dostarczonego przez użytkownika oraz braku odpowiedniego przygotowania istniejącego zapytania SQL.

CVE-2026-9702
Wysokie

Wtyczka InPost PL dla WordPressa przed wersją 1.9.1 nie weryfikuje, czy żądanie pochodzi od uprawnionego nabywcy, co pozwala nieautoryzowanym atakującym na ciche przekierowanie miejsca dostawy zamówienia WooCommerce.

CVE-2026-5305
Wysokie

Wtyczka Email Address Encoder dla WordPressa przed wersją 1.0.25 oraz wtyczka email-encoder-premium przed wersją 0.3.12 nieprawidłowo obsługują zamianę adresów e-mail, co może umożliwić nieautoryzowanym użytkownikom przeprowadzenie ataków typu Stored XSS.

CVE-2026-12490
Wysokie

Podatność w systemie DNS pozwala na ominięcie wymogu uwierzytelnienia certyfikatem klienta podczas transferu strefy (XFR) z użyciem opcji provide-xfr z parametrem tls-auth-name. Gdy żądanie przychodzi przez TLS na standardowym porcie TLS (a nie na porcie tls-auth) lub przez zwykłe TCP na standardowym porcie, serwer nie wymaga certyfikatu klienta, nawet jeśli reguła provide-xfr go przewiduje.

CVE-2026-12246
Wysokie

W NSD w wersji 4.14.0 wprowadzono błąd, w którym specjalnie spreparowany rekord APL RR z długością adresu (adflength) większą niż dozwolona dla danej rodziny adresów nadpisuje stos podczas zapisywania strefy na dysk, maksymalnie 111 bajtami kontrolowanymi przez atakującego.

CVE-2026-12245
Wysokie

W NSD od wersji 4.13.0 wykryto błąd use-after-free w stercie podczas logowania błędów na połączeniach TLS. Podatność powoduje awarię procesu serwera, którą można łatwo wywołać, wysyłając zapytanie DNS przez połączenie DoT i zamykając połączenie bez odczytania odpowiedzi.

CVE-2026-12244
Wysokie

Podatność w NSD umożliwia atakującemu, który jest serwerem nadrzędnym dla strefy, doprowadzenie do przepełnienia sterty poprzez wysłanie odpowiedzi AXFR zawierającej specjalnie spreparowany rekord SVCB o rozmiarze danych 65512 bajtów. Powoduje to zawinięcie zmiennej typu uint16_t używanej do alokacji pamięci, co prowadzi do zapisu poza przydzielonym buforem.

CVE-2026-13311
Wysokie

Podatność w bibliotece shell-quote przed wersją 1.8.5 powoduje, że funkcja parse() działa w czasie O(n^2) względem liczby tokenów wejściowych. Atakujący może dostarczyć specjalnie spreparowany ciąg znaków, który zablokuje jednowątkową pętlę zdarzeń Node.js na dłuższy czas, prowadząc do odmowy usługi (DoS).

CVE-2026-12053
Wysokie

W GitLab EE wykryto podatność, która w określonych warunkach mogła umożliwić użytkownikowi dostęp do poufnych informacji już zatwierdzonych w projekcie. Problem wynikał z niewystarczającego filtrowania danych wyjściowych w funkcji Duo Workflows.

CVE-2026-10712
Wysokie

Podatność w GitLab CE/EE umożliwia nieuwierzytelnionemu atakującemu wykonanie dowolnego kodu JavaScript w sesji przeglądarki użytkownika z powodu nieprawidłowej walidacji ścieżki. Problem dotyczy wersji od 18.10 do 18.11.6, 19.0 do 19.0.3 oraz 19.1 do 19.1.1.

CVE-2026-10086
Wysokie

W GitLab EE wykryto podatność polegającą na niewłaściwym oczyszczaniu danych wejściowych użytkownika. Uwierzytelniony użytkownik z uprawnieniami dewelopera mógł, w określonych warunkach, wykonać dowolny kod po stronie klienta w kontekście sesji innego użytkownika.

CVE-2026-12077
Wysokie

Wtyczka Dokan Pro dla WordPressa jest podatna na czasową iniekcję SQL przez parametry 'latitude' i 'longitude' we wszystkich wersjach do 5.0.4 włącznie. Podatność wynika z niedostatecznego escapowania parametrów użytkownika i braku odpowiedniego przygotowania zapytania SQL.

CVE-2026-8666
Wysokie

Podatność umożliwiająca wstrzyknięcie poleceń systemu operacyjnego w akcji traceroute wtyczki Rapid7 InsightConnect Traceroute dla systemu Linux. Atakujący zdalnie może wykonać dowolne polecenia systemowe poprzez parametry żądania host, port, max_ttl, count lub time_out z powodu niewystarczającej walidacji danych wejściowych podczas konstruowania poleceń powłoki.

CVE-2026-8665
Wysokie

Podatność umożliwiająca wstrzyknięcie poleceń systemu operacyjnego w akcji TR wtyczki Translate firmy Rapid7 InsightConnect na systemie Linux. Zdalny atakujący może wykonać dowolne polecenia systemowe poprzez parametry text lub expression z powodu niedostatecznego oczyszczania danych wejściowych podczas konstruowania poleceń powłoki.

CVE-2026-8660
Wysokie

Wtyczka Ping dla Rapid7 InsightConnect na systemie Linux zawiera podatność na wstrzykiwanie poleceń systemu operacyjnego. Atakujący zdalnie może wykonać dowolne polecenia poprzez parametr host z powodu niewystarczającej walidacji danych wejściowych.

CVE-2026-8592
Wysokie

Podatność umożliwiająca wstrzyknięcie poleceń systemu operacyjnego w akcji process_string wtyczki AWK InsightConnect firmy Rapid7 na systemie Linux. Atakujący zdalnie może wykonać dowolne polecenia systemowe poprzez parametry text lub expression z powodu niebezpiecznego konstruowania poleceń powłoki w potoku przetwarzania.

CVE-2026-9155
WysokieEPSS 56%

Podatność OS Command Injection w Rapid7 InsightConnect Sed Plugin na systemie Linux umożliwia uwierzytelnionym atakującym wykonanie dowolnych poleceń systemu operacyjnego poprzez parametr expression z powodu niewystarczającej walidacji danych wejściowych.

CVE-2026-9154
Wysokie

Podatność Arbitrary File Write w pluginie Sed dla Rapid7 InsightConnect na systemie Linux umożliwia uwierzytelnionym atakującym zapisanie kontrolowanej przez atakującego treści do dowolnych ścieżek plików za pomocą parametru expression.

CVE-2026-57589
Wysokie

W jądrze OpenBSD do wersji 7.9 w pliku sys/kern/sysv_sem.c występuje podatność use-after-free, która umożliwia lokalną eskalację uprawnień do poziomu roota. Problem pojawia się po przełączeniu kontekstu po wywołaniu tsleep w funkcji sys_semget().

CVE-2026-9787
WysokieEPSS 69%

Podatność w Quest NetVault Backup umożliwia zdalne wykonanie kodu poprzez wstrzyknięcie poleceń w procesie NVBULogDaemon. Problem wynika z braku walidacji danych użytkownika przed użyciem ich w wywołaniu systemowym, co pozwala atakującemu na wykonanie kodu w kontekście SYSTEM. Wymagane jest uwierzytelnienie, ale istniejący mechanizm uwierzytelniania może zostać ominięty.

PoprzedniaStrona 62 z 3344Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS