Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-53909
Średnie

Podatność w MCO polega na braku walidacji typów przesyłanych plików po stronie serwera. Walidacja opiera się wyłącznie na kontroli po stronie klienta, co może zostać ominięte. Uwierzytelniony atakujący z niskimi uprawnieniami może przesłać pliki dowolnego typu na serwer.

CVE-2026-53908
Średnie

Podatność MCO na enumerację użytkowników poprzez funkcje związane z uwierzytelnianiem. Aplikacja zwraca różne odpowiedzi dla prawidłowych i nieprawidłowych użytkowników podczas operacji przypominania nazwy użytkownika i resetowania hasła, co umożliwia atakującemu wyliczenie prawidłowych nazw użytkowników i adresów e-mail.

CVE-2026-53907
Średnie

Podatność Stored Cross‑Site Scripting (XSS) w MCO umożliwia atakującemu przesłanie złośliwego pliku SVG jako logo aplikacji. Kod JavaScript wykonuje się podczas renderowania lub otwierania logo.

CVE-2026-53906
Wysokie

Podatność w MCO umożliwia ujawnienie ścieżki i traversal ścieżki w funkcjonalności obsługi plików związanej z eksportem i przesyłaniem danych. Niewłaściwa walidacja parametru nazwy pliku pozwala na zapisywanie plików w dowolnych lokalizacjach oraz pośrednie ujawnienie absolutnych ścieżek serwera poprzez komunikaty błędów.

CVE-2026-53905
Wysokie

Podatność w MCO pozwala uwierzytelnionemu użytkownikowi z niskimi uprawnieniami na dostęp do struktury kontroli dostępu administratora przez endpoint /customer/servlet/mco/webapi/admin-view-hierarchy/get-acl-tree-structure. Brak odpowiedniej autoryzacji może ujawnić poufne mapowania uprawnień i szczegóły konfiguracji wewnętrznej.

CVE-2026-53904
Wysokie

Podatność w systemie MCO umożliwia atakującemu zablokowanie konta ofiary poprzez wielokrotne resetowanie hasła. Każde żądanie resetu unieważnia poprzednie hasło i tymczasowe hasła, a liczba resetów nie jest ograniczona. Atakujący, znając adres e-mail i odpowiedź na pytanie zabezpieczające, może skutecznie uniemożliwić ofierze dostęp do konta.

CVE-2026-53903
Wysokie

Podatność IDOR w endpointcie /customer/servlet/mco/webapi/trading-document/fetchPdfStatement umożliwia nieautoryzowany dostęp do dokumentów handlowych innych użytkowników. Brak walidacji uprawnień pozwala na odczyt dokumentów na podstawie identyfikatora, który może być łatwo odgadnięty.

CVE-2026-53902
Średnie

Podatność w MCO pozwala uwierzytelnionemu użytkownikowi na modyfikację członkostwa w grupach bez odpowiedniej autoryzacji, co umożliwia eskalację uprawnień. Atakujący może dodać się do dowolnej grupy, podając prawidłowy identyfikator grupy, który może uzyskać z innych funkcji aplikacji lub odgadnąć metodą brute-force.

CVE-2026-14198
Krytyczne

Podatność w @fastify/middie w wersjach 9.1.0 do 9.3.2 powoduje rozbieżność w interpretacji zakodowanego ukośnika (%2F) między middleware a routerem Fastify. Atakujący może ominąć middleware używane do uwierzytelniania, autoryzacji lub ograniczania prędkości, wysyłając spreparowane żądanie z zakodowanym ukośnikiem w parametrze ścieżki.

CVE-2026-14181
Wysokie

Podatność w @fastify/middie w wersjach 9.1.0 do 9.3.2 powoduje awarię procesu Node.js przy przetwarzaniu nieprawidłowo zakodowanych sekwencji procentowych w ścieżkach żądań. Błąd występuje tylko przy użyciu samodzielnego silnika API (middie.run), a nie wtyczki Fastify.

CVE-2026-13323
Średnie

W Open VSX Registry przed wersją 1.0.2 endpoint /vscode/unpkg/ serwuje pliki HTML dostarczone przez użytkownika z typem MIME text/html i bez nagłówków Content-Security-Policy ani Content-Disposition: attachment. Nieuwierzytelniony atakujący może zarejestrować konto wydawcy, przesłać rozszerzenie VSIX z złośliwym ładunkiem HTML i nakłonić uwierzytelnionego użytkownika do odwiedzenia spreparowanego URL.

CVE-2026-14258
Średnie

W bibliotece dhcpcd wykryto podatność w procesie obsługi komunikatów IPv6 Neighbor Discovery Router Advertisement. Specjalnie spreparowany pakiet IPv6 Router Advertisement z opcją Neighbor Discovery o zerowej długości może ominąć walidację podczas przechowywania, a następnie zostać ponownie przetworzony bez odpowiedniej kontroli, powodując zapętlenie parsera. Skuteczne wykorzystanie może prowadzić do nadmiernego zużycia procesora i odmowy usługi.

CVE-2026-13228
Wysokie

Wtyczka LatePoint dla WordPressa do wersji 5.6.3 zawiera podatność na eskalację uprawnień do administratora. Wynika ona z niebezpiecznego bezpośredniego odwołania do obiektu (IDOR) w funkcji create_or_update() oraz braku weryfikacji roli w OsAuthHelper::authorize_customer(). Uwierzytelniony atakujący z poziomem dostępu Agenta może podmienić adres e-mail dowolnego klienta, w tym powiązanego z kontem administratora, a następnie zalogować się na to konto.

CVE-2026-12142
Wysokie

Wtyczka NEX-Forms dla WordPressa do wersji 9.2.2 włącznie jest podatna na przechowywany atak Cross-Site Scripting (XSS) poprzez parametr tablicy '_name[]'. Brak odpowiedniej sanitizacji wejścia i eskapowania wyjścia umożliwia nieuwierzytelnionym atakującym wstrzyknięcie dowolnych skryptów, które wykonują się przy dostępie do zainfekowanej strony.

CVE-2026-10095
Średnie

Wtyczka WP Photo Album Plus dla WordPressa zawiera podatność na trwałe ataki XSS przez parametr 'subtext' w wersjach do 9.1.13.005 włącznie. Brak odpowiedniej sanitacji wejścia i ucieczki wyjścia umożliwia uwierzytelnionym atakującym z dostępem na poziomie współautora i wyższym wstrzyknięcie dowolnych skryptów.

CVE-2026-27435
Średnie

Brak autoryzacji w Woffice umożliwia wykorzystanie nieprawidłowo skonfigurowanych poziomów bezpieczeństwa kontroli dostępu. Podatność dotyczy wersji przed 5.4.33.

CVE-2026-13454
Średnie

Wtyczka MotoPress Appointment Booking dla WordPressa jest podatna na ogólne wstrzykiwanie SQL przez parametr 's' we wszystkich wersjach do 2.4.5 włącznie. Podatność wynika z niedostatecznego oczyszczania parametru i braku odpowiedniego przygotowania zapytania SQL, co umożliwia uwierzytelnionym atakującym z dostępem na poziomie niestandardowym i wyższym dołączanie dodatkowych zapytań SQL do istniejących.

CVE-2026-12754
Średnie

Wtyczka VikBooking Hotel Booking Engine & PMS dla WordPressa jest podatna na odbite ataki typu Cross-Site Scripting (XSS) poprzez parametr 'layoutstyle' we wszystkich wersjach do 1.8.12 włącznie. Podatność wynika z niewystarczającego oczyszczania danych wejściowych i braku odpowiedniego kodowania wyjścia.

CVE-2026-56016
Średnie

Podatność w bibliotece CGI::Session::ID::md5 dla Perla przed wersją 4.49 generuje przewidywalne identyfikatory sesji z niskoentropijnych źródeł. Metoda generate_id tworzy identyfikator sesji z MD5 sumy PID, czasu epoki i funkcji rand(), które są łatwe do odgadnięcia.

CVE-2026-50043
WysokieEPSS 62%

W urządzeniach SkyBridge MB-A100/MB-A110 stwierdzono podatność na wstrzykiwanie poleceń systemu operacyjnego. Luka wynika z nieprawidłowej neutralizacji specjalnych elementów w poleceniach OS.

PoprzedniaStrona 63 z 4524Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS