Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
Wtyczka Motors dla WordPressa przed wersją 1.4.110 nie posiada odpowiednich mechanizmów autoryzacji i kontroli CSRF w jednej ze swoich akcji AJAX, co pozwala nieautoryzowanym atakującym na modyfikację dowolnych metadanych postów, takich jak galeria, obrazek wyróżniający oraz ceny produktów na stronach WooCommerce.
Wtyczka ultimate-woocommerce-auction-pro dla WordPressa w wersji do 2.4.5 nie sanitizuje i nie ucieka parametru przed jego wyświetleniem na stronie, co prowadzi do podatności na Reflected Cross-Site Scripting. Może to być wykorzystane przeciwko użytkownikom o wysokich uprawnieniach, takim jak administratorzy.
Wtyczka Pie Register dla WordPressa przed wersją 3.8.4.10 nie wykorzystuje wystarczająco losowych wartości przy generowaniu tokenów weryfikacyjnych kont, co pozwala nieautoryzowanym atakującym przewidzieć ważny token i aktywować konto bez dostępu do powiązanej skrzynki e-mail.
Zidentyfikowano podatność w centraldogma-server-auth-shiro w wersjach przed 0.84.0, gdzie SearchFirstActiveDirectoryRealm wstawia nazwę użytkownika do filtru wyszukiwania LDAP bez neutralizacji metaznaków filtru LDAP.
W podatności CVE-2026-12822 w narzędziu langflow-ai langflow w wersji do 1.9.3 wykryto lukę w komponencie Bundle URL Loader. Polega ona na możliwości wstrzyknięcia kodu przez lokalnego atakującego. Producent nie odpowiedział na zgłoszenie.
W podatności CVE-2026-12821 w FlowiseAI Flowise do wersji 3.1.2 zidentyfikowano problem w nieznanej funkcji pliku packages/components/nodes/documentloaders/S3/S3.ts, która dotyczy komponentu S3 Document Loader. Wykonanie manipulacji może prowadzić do przejścia ścieżki.
Wykryto podatność w coollabsio coolify w wersji 4.0.0, która dotyczy nieznanej funkcji komponentu Image Name Handler. Manipulacja tą funkcją prowadzi do wstrzyknięcia poleceń systemowych.
W urządzeniu Comfast CF-WR631AX V3 do wersji 2.7.0.8 zidentyfikowano lukę, która dotyczy funkcji systemowej pliku /cgi-bin/mbox-config?section=ping_config. Manipulacja argumentem destination prowadzi do zdalnego wstrzyknięcia poleceń systemowych.
Wykryto podatność w activepieces do wersji 0.83.0, która dotyczy funkcji handleUrlFile w bibliotece packages/server/engine/src/lib/variables/processors/file.ts komponentu File URL Handler. Manipulacja prowadzi do oszustwa żądań po stronie serwera.
Zidentyfikowano słabość w kortix-ai suna do wersji 0.8.38, która dotyczy funkcji router.replace/router.push w pliku apps/frontend/src/app/auth/page.tsx komponentu Auth Endpoint. Manipulacja argumentem returnURL może prowadzić do ataków typu cross site scripting.
W urządzeniu Edimax BR-6478AC V2 w wersji 1.23 odkryto lukę bezpieczeństwa, która dotyczy funkcji mp w pliku /goform/mp. Manipulacja argumentem command prowadzi do wstrzyknięcia poleceń, co może być zrealizowane zdalnie.
Zidentyfikowano podatność w Edimax BR-6478AC V2 1.23, która dotyczy funkcji wiz_5in1_redirect w pliku /goform/wiz_5in1_redirect. Manipulacja argumentem newpass prowadzi do wstrzyknięcia poleceń.
W Edimax BR-6478AC V2 w wersji 1.23 zidentyfikowano podatność, która wpływa na funkcję stainfo w pliku /goform/stainfo. Manipulacja argumentem interface prowadzi do wstrzyknięcia poleceń, co może być zrealizowane zdalnie.
Wykryto podatność w Edimax BR-6478AC V2 1.23, która dotyczy funkcji setWAN w pliku /goform/setWAN. Manipulacja argumentami pppUserName/pptpUserName/L2TPUserName prowadzi do wstrzyknięcia poleceń.
W bibliotece OFFIS DCMTK do wersji 3.7.0 zidentyfikowano lukę w funkcji XMLNode::parseFile, która może prowadzić do przepełnienia bufora na stercie. Atak może być przeprowadzony zdalnie.
Wykryto podatność w lemonldap-ng do wersji 2.23.0, która dotyczy nieznanej funkcji w bibliotece lemonldap-ng-portal/lib/Lemonldap/NG/Portal/CDC.pm. Manipulacja argumentem url prowadzi do otwartego przekierowania, co może być przeprowadzone zdalnie.
W bibliotece libexpat przed wersją 2.8.2 nie uwzględniono XML_TOK_DATA_CHARS w funkcji doCdataSection, co prowadzi do braku śledzenia głębokości wywołań handlerów w przypadku naruszenia polityki. Może to skutkować wystąpieniem błędu use-after-free.
W bibliotece libexpat przed wersją 2.8.2 występuje przepełnienie całkowite w funkcji xmlwf, które może wystąpić podczas przetwarzania deklaracji NOTATION w endDoctypeDecl.
W bibliotece libexpat przed wersją 2.8.2 występuje przepełnienie całkowite w funkcji resolveSystemId, co może prowadzić do nieprzewidzianych zachowań aplikacji.
W bibliotece libexpat przed wersją 2.8.2 występuje przepełnienie całkowite dla nazwy pliku wyjściowego, gdy używana jest opcja -d outputDir.

