Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-44670
Krytyczne

SiYuan to otwartoźródłowy system zarządzania wiedzą osobistą. W wersjach przed 3.7.0, nazwy widoków atrybutów są przechowywane bez HTML escape, co prowadzi do możliwości wstrzyknięcia HTML i wykonania kodu Node.js w rendererze.

CVE-2026-44592
Krytyczne

Gradient to system ciągłej integracji oparty na Nix. W wersji 1.1.0, gdy GRADIENT_DISCOVERABLE=true, każdy, kto ma dostęp do /proto, może zarejestrować się jako pracownik bez żadnych poświadczeń, co prowadzi do nieautoryzowanego dostępu do zadań z każdej organizacji.

CVE-2026-44588
Krytyczne

SiYuan to system zarządzania wiedzą, który przed wersją 3.7.0 miał problem z obsługą atrybutu aria-label. W wyniku niewłaściwego dekodowania URL, możliwe było wstrzyknięcie złośliwego kodu HTML, co prowadziło do wykonania nieautoryzowanego skryptu.

CVE-2026-44523
Krytyczne

Aplikacja Note Mark przed wersją 0.19.4 nie wymusza minimalnej długości ani entropii dla wartości konfiguracyjnej JWT_SECRET. Umożliwia to akceptację dowolnego sekretu kodowanego w base64, w tym sekretów o długości zaledwie 1 bajta.

CVE-2026-41315
Krytyczne

mdserver-web w wersjach od 0.18.0 do 0.18.4 posiada podatność na zdalne wykonanie poleceń bez autoryzacji w interfejsach /modify_crond i /start_task. Brak autoryzacji umożliwia modyfikację domyślnych zadań zaplanowanych oraz ich uruchamianie, co prowadzi do RCE.

CVE-2026-44542
Krytyczne

FileBrowser Quantum przed wersjami 1.3.1-stable i 1.3.9-beta ma lukę, która pozwala atakującemu na wykorzystanie kontrolowanego przez niego wejścia ścieżki do ucieczki z zamierzonego katalogu współdzielonego. Dzięki temu, nieautoryzowany atakujący z ważnym hashem publicznego udostępnienia i uprawnieniami do usuwania może usunąć dowolne pliki poza tym katalogiem.

CVE-2026-41615
Krytyczne

W Microsoft Authenticator występuje podatność, która umożliwia nieautoryzowanemu atakującemu ujawnienie wrażliwych informacji przez sieć.

CVE-2026-42555
Krytyczne

Valtimo to platforma automatyzacji procesów biznesowych, która ma podatność umożliwiającą wykonanie zdalnego kodu oraz wyciek danych uwierzytelniających. Wersje od 12.0.0 do przed 12.32.0 dla com.ritense.valtimo:document oraz od 13.0.0 do przed 13.23.0 dla com.ritense.valtimo:case i com.ritense.valtimo:contract są narażone na atak.

CVE-2026-20182
KrytyczneAktywnie exploitowaneEPSS 100%

W podatności CVE-2026-20182 zidentyfikowano problem z mechanizmem uwierzytelniania w Cisco Catalyst SD-WAN Controller, Manager i Validator, który umożliwia nieautoryzowanemu atakującemu ominięcie uwierzytelnienia i uzyskanie uprawnień administracyjnych. Atakujący może wykorzystać tę lukę, wysyłając spreparowane żądania do systemu.

CVE-2026-42596
Krytyczne

Gotenberg to API do plików PDF, które przed wersją 8.31.0 miało lukę w funkcji downloadFrom oraz webhook. Domyślne listy blokad były podatne na obejście, co pozwalało nieautoryzowanym atakującym na dostęp do wewnętrznych usług HTTP.

CVE-2026-42589
Krytyczne

Gotenberg to API do plików PDF, które przed wersją 8.31.0 nie weryfikowało kluczy w obiektach JSON przesyłanych do punktu końcowego /forms/pdfengines/metadata/write. Wykorzystanie znaku nowej linii w kluczu JSON pozwala na wstrzyknięcie dowolnych flag ExifTool, co prowadzi do nieautoryzowanego wykonania poleceń systemowych.

CVE-2026-44484
Krytyczne

Podatność w PyTorch Lightning w wersjach 2.6.2 i 2.6.2 wprowadza funkcjonalność umożliwiającą kradzież poświadczeń (credential harvesting). Atakujący może wykorzystać tę lukę do przechwytywania danych uwierzytelniających użytkowników.

CVE-2026-44482
Krytyczne

W aplikacji soundcloud-rpc przed wersją 0.1.8 występowała podatność, która pozwalała na wykonanie lokalnych poleceń na maszynie użytkownika poprzez złośliwe metadane utworów z SoundCloud. Metadane te były zaufane i przekazywane do głównego procesu Electron, co umożliwiało ich renderowanie jako surowy HTML.

CVE-2026-42457
Krytyczne

vCluster Platform przed wersjami 4.4.3, 4.5.5, 4.6.2, 4.7.1 i 4.8.0 zawiera podatność na atak Stored XSS poprzez pole nazwy w templateRef. Może to prowadzić do wykonania dowolnych zewnętrznych skryptów w kontekście przeglądarki platformy.

CVE-2026-2347
Krytyczne

Podatność w oprogramowaniu Akilli Commerce umożliwia obejście autoryzacji poprzez klucz kontrolowany przez użytkownika, co prowadzi do przejęcia sesji.

CVE-2025-11024
Krytyczne

W oprogramowaniu Akilli Commerce występuje podatność na SQL injection, która umożliwia przeprowadzenie ataku typu Blind SQL Injection. Problem dotyczy wersji E-Commerce Website przed 4.5.001.

CVE-2026-6512
Krytyczne

Wtyczka InfusedWoo Pro dla WordPressa jest podatna na obejście autoryzacji we wszystkich wersjach do i włącznie z 5.1.2. Problem wynika z niewłaściwego weryfikowania uprawnień użytkowników do wykonywania określonych działań.

CVE-2026-6510
Krytyczne

Wtyczka InfusedWoo Pro dla WordPressa jest podatna na eskalację uprawnień z powodu braku autoryzacji we wszystkich wersjach do 5.1.2 włącznie. Problem wynika z braku weryfikacji nonce oraz sprawdzenia uprawnień w handlerze AJAX iwar_save_recipe().

CVE-2026-6271
Krytyczne

Wtyczka Career Section dla WordPressa jest podatna na nieautoryzowane przesyłanie plików we wszystkich wersjach do 1.7 włącznie, z powodu braku walidacji typu pliku w obsłudze przesyłania CV. To umożliwia nieautoryzowanym atakującym przesyłanie plików, które mogą być wykonywalne, co stwarza możliwość zdalnego wykonania kodu.

CVE-2026-8181
Krytyczne

Wtyczka Burst Statistics – Privacy-Friendly WordPress Analytics jest podatna na obejście uwierzytelnienia w wersjach od 3.4.0 do 3.4.1.1. Problem wynika z nieprawidłowego przetwarzania wartości zwracanej w funkcji `is_mainwp_authenticated()`, co pozwala nieautoryzowanym atakującym na podszywanie się pod administratora.

PoprzedniaStrona 75 z 558Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS