Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-42864
Krytyczne

Aplikacja FireFighter do zarządzania incydentami ma lukę, która pozwala na dostęp do punktu końcowego POST /api/v2/firefighter/raid/jira_bot bez uwierzytelnienia. Umożliwia to nieautoryzowanym użytkownikom wymuszenie pobierania dowolnych URL-i i przesyłanie ich jako załączników do zgłoszeń w Jira.

CVE-2026-43995
Krytyczne

Flowise to interfejs typu drag & drop do budowania dostosowanych przepływów dużych modeli językowych. W wersjach przed 3.1.0, kilka implementacji narzędzi bezpośrednio importuje i wywołuje surowe klienty HTTP, co stwarza lukę bezpieczeństwa.

CVE-2026-38567
Krytyczne

HireFlow v1.2 jest podatny na atak typu SQL injection w punktach końcowych /login i /search. Wprowadzone przez użytkownika dane są bezpośrednio łączone z zapytaniami SQL bez parametryzacji.

CVE-2026-7813
Krytyczne

Podatność autoryzacji w trybie serwera pgAdmin 4 umożliwia dostęp do prywatnych obiektów innych użytkowników bez odpowiedniego filtrowania. Użytkownik uwierzytelniony może uzyskać dostęp do prywatnych serwerów, grup serwerów oraz procesów w tle innych użytkowników poprzez odgadnięcie identyfikatorów obiektów.

CVE-2026-44643
Krytyczne

Angular Expressions, używane w frameworku Angular.JS, przed wersją 1.5.2, pozwalały atakującemu na napisanie złośliwej ekspresji, która mogła wydostać się z piaskownicy i wykonać dowolny kod na systemie.

CVE-2026-42613
Krytyczne

Grav to platforma internetowa oparta na plikach. W wersjach przed 2.0.0-beta.2 metoda Login::register() wtyczki Login akceptuje grupy i pola dostępu kontrolowane przez atakującego bez walidacji po stronie serwera.

CVE-2026-42608
Krytyczne

Grav to platforma internetowa oparta na plikach. Przed wersją 2.0.0-beta.2 występowała podatność typu Path Traversal w głównym komponencie FormFlash, umożliwiająca nieautoryzowanym atakującym manipulację systemem plików.

CVE-2026-42607
Krytyczne

Grav to platforma internetowa oparta na plikach. Przed wersją 2.0.0-beta.2, uwierzytelniony użytkownik z uprawnieniami administratora mógł uzyskać zdalne wykonanie kodu (RCE) poprzez przesłanie specjalnie przygotowanego pliku ZIP za pomocą narzędzia 'Direct Install'.

CVE-2026-40636
Krytyczne

Wersje Dell ECS od 3.8.1.0 do 3.8.1.7 oraz wersje Dell ObjectScale przed 4.3.0.0 zawierają podatność na wykorzystanie twardo zakodowanych poświadczeń. Nieautoryzowany atakujący z lokalnym dostępem może potencjalnie wykorzystać tę podatność, co prowadzi do uzyskania dostępu do systemu plików.

CVE-2021-47940
Krytyczne

Wtyczka WordPress Download From Files w wersji 1.48 i wcześniejszych zawiera podatność na nieautoryzowane przesyłanie plików. Atakujący mogą wykorzystać akcję AJAX fileupload, aby przesłać złośliwe pliki, omijając ograniczenia dotyczące typów plików.

CVE-2021-47936
Krytyczne

OpenCATS w wersji 0.9.4 zawiera podatność na zdalne wykonanie kodu, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych poleceń poprzez przesyłanie złośliwych plików PHP podszywających się pod załączniki CV. Atakujący mogą przesyłać ładunki PHP przez punkt końcowy aplikacji o pracę i wykonywać polecenia systemowe za pomocą żądań POST do przesłanego pliku w katalogu przesyłania.

CVE-2021-47933
Krytyczne

WordPress MStore API w wersji 2.0.6 zawiera podatność na nieautoryzowane przesyłanie plików, która pozwala atakującym na przesyłanie złośliwych plików poprzez wysyłanie żądań POST do punktu końcowego REST API. Atakujący mogą przesyłać pliki PHP o dowolnych nazwach do punktu końcowego config_file, co prowadzi do zdalnego wykonania kodu na serwerze.

CVE-2021-47932
Krytyczne

WordPress TheCartPress w wersji 1.5.3.6 zawiera podatność na eskalację uprawnień, która pozwala atakującym na tworzenie kont administratorów poprzez wysyłanie odpowiednio skonstruowanych żądań do obsługi AJAX.

CVE-2021-47923
Krytyczne

OpenCart w wersji 3.0.3.8 zawiera podatność na fikcję sesji, która pozwala atakującym na przejęcie sesji użytkowników poprzez wstrzykiwanie dowolnych wartości do ciasteczka OCSESSID. Atakujący mogą ustawić złośliwe wartości ciasteczka OCSESSID, które serwer akceptuje i utrzymuje, co umożliwia przejęcie sesji i nieautoryzowany dostęp do kont użytkowników.

CVE-2026-6104
Krytyczne

W PHP 8.4.* przed 8.4.21 i 8.5.* przed 8.5.6, przekazanie nazwy kodowania zawierającej wbudowany bajt NUL do funkcji mb_convert_encoding() lub pokrewnych funkcji mbstring powoduje błędne założenie, że zwrócenie 0 przez strncasecmp() oznacza równą długość łańcuchów. Prowadzi to do odczytu poza zakresem pamięci globalnej, co może skutkować awarią lub ujawnieniem informacji.

CVE-2026-6722
Krytyczne

W PHP wersje 8.2.* przed 8.2.31, 8.3.* przed 8.3.31, 8.4.* przed 8.4.21 i 8.5.* przed 8.5.6 zawierają podatność use-after-free w mechanizmie deduplikacji obiektów rozszerzenia SOAP. Przechowywanie wskaźników do obiektów PHP w globalnej mapie bez zwiększania liczników referencji, w połączeniu z duplikacją kluczy w węźle apache:Map, prowadzi do wywołania wolnej pamięci i możliwości zdalnego wykonania kodu.

CVE-2025-14179
Krytyczne

W PHP wersje 8.2.* przed 8.2.31, 8.3.* przed 8.3.31, 8.4.* przed 8.4.21 i 8.5.* przed 8.5.6 zawierają podatność w sterowniku PDO Firebird. Podczas przygotowywania zapytań SQL, tokeny zawierające bajt NUL są nieprawidłowo kopiowane przez funkcję strncat(), która zatrzymuje się na tym bajcie, pomijając zamykający cudzysłów i powodując, że kolejne tokeny SQL są interpretowane jako część ciągu znaków.

CVE-2026-42601
Krytyczne

ArchiveBox to system archiwizacji stron internetowych, który w wersjach 0.8.6rc0 i wcześniejszych ma lukę w punkcie końcowym /add/. Pole config JSON jest łączone z konfiguracją bez walidacji, co umożliwia wstrzyknięcie dowolnych argumentów narzędzi, co prowadzi do zdalnego wykonania kodu (RCE).

CVE-2026-42571
Krytyczne

Pelican, platforma do tworzenia federacji danych, ma podatność na eskalację uprawnień w interfejsie użytkownika WebUI w wersjach od 7.21.0 do przed 7.21.5, 7.22.0 do przed 7.22.3, 7.23.0 do przed 7.23.3 oraz 7.24.0 do przed 7.24.2. Umożliwia to uwierzytelnionym użytkownikom dostęp do uprawnień administratora w określonych konfiguracjach.

CVE-2026-42569
Krytyczne

W phpVMS, aplikacji PHP do symulacji linii lotniczych, przed wersją 7.0.6 występowała krytyczna podatność, która umożliwiała nieautoryzowany dostęp do przestarzałej funkcji importu.

PoprzedniaStrona 83 z 560Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS