Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-11600
Średnie

Wtyczka Envo's Templates & Widgets dla Elementor i WooCommerce w wersji do 1.4.26 zawiera brak autoryzacji w widżecie Envo Tabs, co pozwala uwierzytelnionym atakującym z dostępem na poziomie autora na ujawnienie prywatnych treści Elementora. Poprzez podanie identyfikatora prywatnego szablonu w widżecie, atakujący może sprawić, że treść ta będzie widoczna dla anonimowych odwiedzających.

CVE-2026-11592
Średnie

Wtyczka Email Subscribers & Newsletters dla WordPressa w wersjach do 5.9.27 włącznie zawiera podatność na ominięcie autoryzacji. Uwierzytelnieni atakujący z dostępem na poziomie współautora lub wyższym mogą nadpisywać ustawienia poczty, tworzyć listy odbiorców, dodawać kontakty, tworzyć i nadpisywać newslettery, dodawać przepływy pracy oraz wysyłać masowe e-maile do dowolnych odbiorców.

CVE-2026-10089
Średnie

Wtyczka Insert Pages dla WordPressa jest podatna na trwałe ataki XSS poprzez klucze pól niestandardowych (nazwy meta kluczy) w wersjach do 3.11.4 włącznie. Podatność wynika z braku odpowiedniego escapowania klucza pola niestandardowego ($key) w funkcji the_meta(), podczas gdy wartość pola jest prawidłowo filtrowana. Atakujący z dostępem autora lub wyższym mogą wstrzykiwać dowolne skrypty webowe, które wykonają się przy wyświetleniu strony z wstawioną zawartością.

CVE-2026-10077
Średnie

Motyw WordPress yootheme przed wersją 5.0.35 nie zapobiega traktowaniu przez dołączony framework front-endowy pewnych atrybutów HTML, dozwolonych przez funkcję wp_kses_post(), jako znaczników. Umożliwia to użytkownikom z rolą Autora przeprowadzenie ataków Stored Cross-Site Scripting, które wykonują się w przeglądarce każdego użytkownika przeglądającego zmodyfikowany wpis.

CVE-2026-55792
Średnie

Podatność w Craft CMS pozwala użytkownikom z uprawnieniami do edycji szablonów e-mail na odczyt plików serwera, w tym pliku .env z hasłami i kluczami API. Atakujący może przejąć konto administratora poprzez sfałszowanie tokenów sesji.

CVE-2026-55791
Średnie

Craft CMS w wersjach od 4.0.0-RC1 do 4.18.0 oraz od 5.0.0-RC1 do 5.10.0 jest podatny na SSRF i wstrzykiwanie dowolnego kodu JavaScript przez endpoint /actions/app/resource-js. Atakujący może manipulować nagłówkami Host lub X-Forwarded-Host, aby ominąć walidację URL i zmusić klienta Guzzle do pobrania złośliwego ładunku z zewnętrznego serwera.

CVE-2026-50280
Średnie

W Craft CMS w wersjach od 5.0.0-RC1 do 5.9.20 stwierdzono podatność polegającą na nieprawidłowej autoryzacji w endpointzie EntriesController::actionMoveToSection(). Uwierzytelniony użytkownik z niskimi uprawnieniami może przenieść wpis do sekcji, do której ma tylko dostęp do odczytu, bez wymaganych uprawnień zapisu, co narusza model autoryzacji na poziomie sekcji.

CVE-2026-50283
Średnie

W systemie CMS Craft wykryto podatność w kontrolerze AssetsController::actionReplaceFile, która umożliwia uwierzytelnionemu użytkownikowi usunięcie zasobu bez wymaganych uprawnień do usuwania. Problem występuje w wersjach 5.0.0-RC1 do 5.9.20 oraz 4.0.0-RC1 do 4.17.13.

CVE-2026-14440
Średnie

Podatność w Cloudflare Universal SSL pozwala na pominięcie restrykcyjnych rekordów CAA z parametrami accounturi lub validationmethods (RFC 8657) podczas wydawania certyfikatów TLS. Automatycznie zarządzany zestaw rekordów CAA przez Universal SSL nadpisuje konfigurację klienta, co może umożliwić atakującemu uzyskanie zaufanego certyfikatu dla domeny ofiary.

CVE-2026-14421
Średnie

W przeglądarce Google Chrome na systemie ChromeOS przed wersją 150.0.7871.46 wykryto podatność w komponencie Dawn polegającą na użyciu niezainicjalizowanej pamięci. Zdalny atakujący może wykorzystać specjalnie spreparowaną stronę HTML do uzyskania potencjalnie wrażliwych informacji z pamięci procesu.

CVE-2026-14418
Średnie

W przeglądarce Google Chrome przed wersją 150.0.7871.46 w komponencie ANGLE wykryto podatność polegającą na użyciu niezainicjalizowanej pamięci. Zdalny atakujący może wykorzystać specjalnie spreparowaną stronę HTML do wycieku danych pochodzących z innego źródła (cross-origin).

CVE-2026-14414
Średnie

Podatność w bibliotece Skia w przeglądarce Google Chrome przed wersją 150.0.7871.46 wynika z niewystarczającej walidacji niezaufanych danych wejściowych. Zdalny atakujący, który przejął proces renderowania, może uzyskać potencjalnie wrażliwe informacje z pamięci procesu za pomocą spreparowanej strony HTML.

CVE-2026-14410
Średnie

Podatność w bibliotece Skia w przeglądarce Google Chrome przed wersją 150.0.7871.46 umożliwia atakującemu, który przejął proces renderowania, na fałszowanie interfejsu użytkownika za pomocą spreparowanej strony HTML. Problem został sklasyfikowany jako niskiego ryzyka.

CVE-2026-14408
Średnie

Podatność w komponencie Dawn w przeglądarce Google Chrome przed wersją 150.0.7871.46 umożliwia zdalnemu atakującemu odczytanie potencjalnie wrażliwych informacji z pamięci procesu za pomocą spreparowanej strony HTML. Problem wynika z użycia niezainicjalizowanej pamięci.

CVE-2026-14406
Średnie

Podatność w silniku V8 w przeglądarce Google Chrome przed wersją 150.0.7871.46 umożliwia odczyt poza zakresem pamięci. Atakujący może nakłonić użytkownika do zainstalowania złośliwego rozszerzenia, co pozwala na potencjalne ujawnienie wrażliwych informacji z pamięci procesu.

CVE-2026-14404
Średnie

Podatność w komponencie PDFium w przeglądarce Google Chrome przed wersją 150.0.7871.46 umożliwiała zdalnemu atakującemu podszywanie się pod interfejs użytkownika za pomocą spreparowanego pliku PDF. Problem został sklasyfikowany jako średniego ryzyka.

CVE-2026-14402
Średnie

W przeglądarce Google Chrome na systemie Windows przed wersją 150.0.7871.46 wykryto podatność w komponencie ANGLE polegającą na użyciu niezainicjalizowanej pamięci. Zdalny atakujący może wykorzystać specjalnie spreparowaną stronę HTML do uzyskania potencjalnie wrażliwych informacji z pamięci procesu.

CVE-2026-14399
Średnie

Podatność w komponencie Dawn w przeglądarce Google Chrome przed wersją 150.0.7871.46 umożliwia zdalnemu atakującemu uzyskanie potencjalnie wrażliwych informacji z pamięci procesu za pomocą spreparowanej strony HTML. Problem wynika z użycia niezainicjalizowanej pamięci.

CVE-2026-14396
Średnie

Podatność w komponencie ANGLE w przeglądarce Google Chrome przed wersją 150.0.7871.46 umożliwiała zdalnemu atakującemu odczyt danych poza dozwolonym zakresem pamięci, co prowadziło do wycieku danych z innego źródła (cross-origin) poprzez spreparowaną stronę HTML.

CVE-2026-14391
Średnie

W przeglądarce Google Chrome na systemie Windows przed wersją 150.0.7871.46 wykryto przepełnienie liczby całkowitej w komponencie ANGLE. Zdalny atakujący, który przejął proces renderowania, mógł wykorzystać spreparowaną stronę HTML do odczytu potencjalnie wrażliwych informacji z pamięci procesu.

PoprzedniaStrona 8 z 489Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS