Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
Na niektórych modelach kamer CCTV ZKTeco dostępny jest nieudokumentowany port eksportu konfiguracji. Port ten nie wymaga uwierzytelnienia i ujawnia krytyczne informacje o kamerze, takie jak otwarte usługi i dane logowania do konta kamery.
W podatności CVE-2026-8467 występuje możliwość zdalnego wykonania kodu przez nieautoryzowanych użytkowników w aplikacji phenixdigital phoenix_storybook. Problem wynika z interpolacji niesanitizowanych wartości atrybutów w generowaniu szablonów HEEx.
W podatności CVE-2026-22314 występuje niewłaściwa kontrola generacji kodu, co umożliwia wykonanie kodu na systemach innych użytkowników w komponentach Mesalvo Meona Client Launcher oraz Meona Server.
W Unbound 1.19.1 do 1.25.0 wykryto podatność w walidatorze DNSSEC, która umożliwia odmowę usługi i potencjalnie zdalne wykonanie kodu. Błąd wynika z nieprawidłowego kopiowania struktury danych, co prowadzi do nadpisania wskaźnika docelowego wskaźnikiem źródłowym. Po zwolnieniu pamięci podzapytania, wznowiony walidator odwołuje się do wiszącego wskaźnika, powodując awarię lub potencjalnie umożliwiając wykonanie dowolnego kodu.
Wersje SureCart przed 4.2.1 są podatne na uwierzytelnioną iniekcję SQL poprzez wiele parametrów na końcówce REST API '/surecart/v1/integrations/{id}'. Problem wynika z błędnego omijania sanitizacji w budowniczym zapytań.
Wersje NextGEN Gallery przed 4.2.1 są podatne na uwierzytelnioną injekcję SQL poprzez parametr 'orderby' w punktach końcowych REST API '/imagely/v1/galleries' i '/imagely/v1/albums'. Problem wynika z niewystarczającej funkcji sanitizacji w warstwie mapowania danych.
Wtyczka Boost dla WordPressa jest podatna na wstrzyknięcie obiektów PHP w wersjach do 2.0.3 włącznie, poprzez deserializację niezaufanych danych w ciasteczku STYXKEY-BOOST_USER_LOCATION. Umożliwia to nieautoryzowanym atakującym wstrzyknięcie obiektu PHP.
Serwer wnioskowania NVIDIA Triton zawiera podatność, która umożliwia atakującemu ominięcie uwierzytelniania. Udany atak może prowadzić do wykonania kodu, eskalacji uprawnień, manipulacji danymi, odmowy usługi lub ujawnienia informacji.
Wtyczka Easy Elements for Elementor – Addons & Website Templates dla WordPressa jest podatna na eskalację uprawnień poprzez rejestrację użytkownika we wszystkich wersjach do 1.4.4 włącznie. Funkcja 'easyel_handle_register' nie ogranicza ról użytkowników, co pozwala nieautoryzowanym atakującym na przypisanie roli 'administrator' podczas rejestracji.
Wtyczka ProSolution WP Client dla WordPressa jest podatna na nieautoryzowane przesyłanie plików w wersjach do 2.0.0 włącznie. Problem wynika z niezgodności walidacji tablicy, gdzie tylko pierwszy plik w tablicy przesyłania przechodzi walidację rozszerzenia i typu MIME, podczas gdy wszystkie pliki są przetwarzane i przesyłane do katalogu dostępnego przez sieć.
W Drupal Date iCal występuje luka związana z brakiem autoryzacji, która umożliwia wymuszone przeglądanie.
CtrlPanel to oprogramowanie do fakturowania dla dostawców hostingu, które w wersjach 1.1.1 i wcześniejszych jest podatne na zdalne wykonanie kodu (RCE) z powodu niewłaściwego sprawdzania pliku instalacyjnego. W wyniku tego, atakujący może wykonać dowolne polecenia na serwerze.
W wersjach 0.46.2 i poniżej funkcja handle_compose_command() w kitty/graphics.c wykonuje walidację granic na przesunięciach kompozycji, co może prowadzić do nadpisania lub odczytu pamięci w stercie. Atakujący mogą wykorzystać to, dostarczając spreparowane wartości x_offset/y_offset, które po owinięciu przechodzą walidację, ale powodują dostęp do pamięci poza granicami.
W wersji 1.2.0 ScadaBR występuje podatność związana z użyciem twardo zakodowanych poświadczeń, co może umożliwić atakującemu dostęp do systemu SCADA jako administrator.
W wersji 1.2.0 ScadaBR występuje podatność na wstrzyknięcie poleceń systemowych, która może umożliwić atakującemu wykonywanie poleceń jako root w systemie SCADA.
W wersji 1.2.0 ScadaBR występuje podatność związana z brakiem uwierzytelnienia dla krytycznych funkcji, co może pozwolić nieautoryzowanemu atakującemu na wysyłanie żądań HTTP GET do systemu SCADA oraz wstrzykiwanie dowolnych odczytów czujników.
W podatności CVE-2026-36829 występuje możliwość ominięcia uwierzytelnienia w wbudowanym serwerze HTTP urządzenia Panabit PAP-XM320 w wersjach do 7.7. Serwer weryfikuje ciasteczka sesyjne na podstawie wartości kontrolowanej przez użytkownika, co prowadzi do możliwości przejścia do innych katalogów oraz ominięcia uwierzytelnienia.
W podatności CVE-2026-37281 występuje możliwość wstrzyknięcia poleceń systemowych w trasie /stream-to-vlc w hitarth-gg Zenshin przed wersją 2.7.0, co pozwala zdalnym atakującym na wykonywanie dowolnych poleceń za pomocą parametru url.
Podatność w bibliotece APScheduler umożliwia zdalne wykonanie kodu (RCE) poprzez niezabezpieczoną deserializację w klasach JSONSerializer i CBORSerializer. Funkcja unmarshal_object pozwala na dowolną inicjalizację klas i wstrzykiwanie stanu przez dynamiczne importowanie modułów i wywoływanie __setstate__ na dowolnej klasie dostępnej w środowisku Python.
W systemie zarządzania apteką LalanaChami (commit 5c3d028) punkty końcowe API nie mają middleware autoryzacji. To pozwala nieautoryzowanym atakującym zdalnie na wyciek wszystkich rekordów użytkowników oraz modyfikację zapasów leków.

