Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-8598
Krytyczne

Na niektórych modelach kamer CCTV ZKTeco dostępny jest nieudokumentowany port eksportu konfiguracji. Port ten nie wymaga uwierzytelnienia i ujawnia krytyczne informacje o kamerze, takie jak otwarte usługi i dane logowania do konta kamery.

CVE-2026-8467
Krytyczne

W podatności CVE-2026-8467 występuje możliwość zdalnego wykonania kodu przez nieautoryzowanych użytkowników w aplikacji phenixdigital phoenix_storybook. Problem wynika z interpolacji niesanitizowanych wartości atrybutów w generowaniu szablonów HEEx.

CVE-2026-22314
Krytyczne

W podatności CVE-2026-22314 występuje niewłaściwa kontrola generacji kodu, co umożliwia wykonanie kodu na systemach innych użytkowników w komponentach Mesalvo Meona Client Launcher oraz Meona Server.

CVE-2026-33278
KrytyczneEPSS 66%

W Unbound 1.19.1 do 1.25.0 wykryto podatność w walidatorze DNSSEC, która umożliwia odmowę usługi i potencjalnie zdalne wykonanie kodu. Błąd wynika z nieprawidłowego kopiowania struktury danych, co prowadzi do nadpisania wskaźnika docelowego wskaźnikiem źródłowym. Po zwolnieniu pamięci podzapytania, wznowiony walidator odwołuje się do wiszącego wskaźnika, powodując awarię lub potencjalnie umożliwiając wykonanie dowolnego kodu.

CVE-2026-9065
Krytyczne

Wersje SureCart przed 4.2.1 są podatne na uwierzytelnioną iniekcję SQL poprzez wiele parametrów na końcówce REST API '/surecart/v1/integrations/{id}'. Problem wynika z błędnego omijania sanitizacji w budowniczym zapytań.

CVE-2026-9059
Krytyczne

Wersje NextGEN Gallery przed 4.2.1 są podatne na uwierzytelnioną injekcję SQL poprzez parametr 'orderby' w punktach końcowych REST API '/imagely/v1/galleries' i '/imagely/v1/albums'. Problem wynika z niewystarczającej funkcji sanitizacji w warstwie mapowania danych.

CVE-2026-7637
Krytyczne

Wtyczka Boost dla WordPressa jest podatna na wstrzyknięcie obiektów PHP w wersjach do 2.0.3 włącznie, poprzez deserializację niezaufanych danych w ciasteczku STYXKEY-BOOST_USER_LOCATION. Umożliwia to nieautoryzowanym atakującym wstrzyknięcie obiektu PHP.

CVE-2026-24207
Krytyczne

Serwer wnioskowania NVIDIA Triton zawiera podatność, która umożliwia atakującemu ominięcie uwierzytelniania. Udany atak może prowadzić do wykonania kodu, eskalacji uprawnień, manipulacji danymi, odmowy usługi lub ujawnienia informacji.

CVE-2026-7284
Krytyczne

Wtyczka Easy Elements for Elementor – Addons & Website Templates dla WordPressa jest podatna na eskalację uprawnień poprzez rejestrację użytkownika we wszystkich wersjach do 1.4.4 włącznie. Funkcja 'easyel_handle_register' nie ogranicza ról użytkowników, co pozwala nieautoryzowanym atakującym na przypisanie roli 'administrator' podczas rejestracji.

CVE-2026-6555
KrytyczneEPSS 58%

Wtyczka ProSolution WP Client dla WordPressa jest podatna na nieautoryzowane przesyłanie plików w wersjach do 2.0.0 włącznie. Problem wynika z niezgodności walidacji tablicy, gdzie tylko pierwszy plik w tablicy przesyłania przechodzi walidację rozszerzenia i typu MIME, podczas gdy wszystkie pliki są przetwarzane i przesyłane do katalogu dostępnego przez sieć.

CVE-2026-8495
Krytyczne

W Drupal Date iCal występuje luka związana z brakiem autoryzacji, która umożliwia wymuszone przeglądanie.

CVE-2026-34234
Krytyczne

CtrlPanel to oprogramowanie do fakturowania dla dostawców hostingu, które w wersjach 1.1.1 i wcześniejszych jest podatne na zdalne wykonanie kodu (RCE) z powodu niewłaściwego sprawdzania pliku instalacyjnego. W wyniku tego, atakujący może wykonać dowolne polecenia na serwerze.

CVE-2026-33642
Krytyczne

W wersjach 0.46.2 i poniżej funkcja handle_compose_command() w kitty/graphics.c wykonuje walidację granic na przesunięciach kompozycji, co może prowadzić do nadpisania lub odczytu pamięci w stercie. Atakujący mogą wykorzystać to, dostarczając spreparowane wartości x_offset/y_offset, które po owinięciu przechodzą walidację, ale powodują dostęp do pamięci poza granicami.

CVE-2026-8605
Krytyczne

W wersji 1.2.0 ScadaBR występuje podatność związana z użyciem twardo zakodowanych poświadczeń, co może umożliwić atakującemu dostęp do systemu SCADA jako administrator.

CVE-2026-8603
Krytyczne

W wersji 1.2.0 ScadaBR występuje podatność na wstrzyknięcie poleceń systemowych, która może umożliwić atakującemu wykonywanie poleceń jako root w systemie SCADA.

CVE-2026-8602
Krytyczne

W wersji 1.2.0 ScadaBR występuje podatność związana z brakiem uwierzytelnienia dla krytycznych funkcji, co może pozwolić nieautoryzowanemu atakującemu na wysyłanie żądań HTTP GET do systemu SCADA oraz wstrzykiwanie dowolnych odczytów czujników.

CVE-2026-36829
Krytyczne

W podatności CVE-2026-36829 występuje możliwość ominięcia uwierzytelnienia w wbudowanym serwerze HTTP urządzenia Panabit PAP-XM320 w wersjach do 7.7. Serwer weryfikuje ciasteczka sesyjne na podstawie wartości kontrolowanej przez użytkownika, co prowadzi do możliwości przejścia do innych katalogów oraz ominięcia uwierzytelnienia.

CVE-2026-37281
Krytyczne

W podatności CVE-2026-37281 występuje możliwość wstrzyknięcia poleceń systemowych w trasie /stream-to-vlc w hitarth-gg Zenshin przed wersją 2.7.0, co pozwala zdalnym atakującym na wykonywanie dowolnych poleceń za pomocą parametru url.

CVE-2026-31072
KrytyczneEPSS 52%

Podatność w bibliotece APScheduler umożliwia zdalne wykonanie kodu (RCE) poprzez niezabezpieczoną deserializację w klasach JSONSerializer i CBORSerializer. Funkcja unmarshal_object pozwala na dowolną inicjalizację klas i wstrzykiwanie stanu przez dynamiczne importowanie modułów i wywoływanie __setstate__ na dowolnej klasie dostępnej w środowisku Python.

CVE-2026-31071
Krytyczne

W systemie zarządzania apteką LalanaChami (commit 5c3d028) punkty końcowe API nie mają middleware autoryzacji. To pozwala nieautoryzowanym atakującym zdalnie na wyciek wszystkich rekordów użytkowników oraz modyfikację zapasów leków.

PoprzedniaStrona 70 z 558Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS