Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-54106
Średnie

Systemy EPDS i EDS nie weryfikują nagłówków HTTP X-Forwarded-For, co pozwala zdalnemu atakującemu z przejętymi uprawnieniami administratora na ominięcie kontroli dostępu do sieci i zalogowanie się.

CVE-2026-54105
Średnie

Systemy EPDS i EDS ujawniają wrażliwe informacje o kontach poprzez punkt końcowy API 'update-profile/'. Zdalny, nieautoryzowany atakujący może wysłać żądanie z dowolnym parametrem 'user_id' i otrzymać odpowiedź JSON zawierającą informacje specyficzne dla konta, w tym powiązany adres e-mail.

CVE-2026-11982
Średnie

Grav w wersji 2.0.0-rc.9 z Admin2 w wersji 2.0.0-rc.14 zawiera podatność typu XSS (cross-site scripting) w procesie zapisywania w API stron Admin2.

CVE-2026-22551
Średnie

W wersjach Eclipse Theia przed 1.71.0, funkcja czatu AI renderowała tagi obrazów Markdown z odpowiedzi AI, co prowadziło do nieograniczonych żądań HTTP do zewnętrznych adresów URL. W połączeniu z wstrzyknięciem poleceń w złośliwym obszarze roboczym, atakujący mógł skłonić agenta AI do tworzenia adresów URL obrazów, które kodowały wrażliwe informacje.

CVE-2026-11791
Średnie

W 389 Directory Server znaleziono usterkę polegającą na tym, że podczas przeładowywania schematu funkcja attr_syntax_swap_ht() bezwarunkowo zwalnia węzły informacji o składni atrybutów, pomijając mechanizm odroczonego usuwania oparty na licznikach referencji. Jeśli administrator uruchomi przeładowanie schematu w czasie, gdy aktywne są równoczesne zapytania LDAP, wątki robocze mogą uzyskać dostęp do zwolnionej pamięci, co prowadzi do użycia po zwolnieniu lub podwójnego zwolnienia i awarii serwera.

CVE-2025-58175
Średnie

GeoServer przed wersjami 2.26.4 i 2.27.3 może pozwolić atakującemu na przeprowadzenie nieautoryzowanego ataku typu Server-Side Request Forgery (SSRF) przy użyciu `ENTITY_RESOLUTION_ALLOWLIST`. Wymaga to, aby GeoServer był skonfigurowany do używania adresu URL proxy bez ścieżki lub kończącego się ukośnikiem.

CVE-2026-56009
Średnie

W podatności CVE-2026-56009 występuje niewłaściwa neutralizacja danych wejściowych podczas generowania stron internetowych w Bricksable dla Bricks Builder, co pozwala na ataki typu Stored XSS.

CVE-2026-56007
Średnie

W podatności CVE-2026-56007 występuje niewłaściwa neutralizacja danych wejściowych podczas generowania stron internetowych w OceanWP Ocean Product Sharing, co prowadzi do możliwości wystąpienia ataków typu Stored XSS.

CVE-2026-54221
Średnie

UBB.threads jest podatny na atak typu Reflected XSS. Aplikacja niewłaściwie obsługuje dane wejściowe użytkownika w niektórych żądaniach, co pozwala atakującym na wykonanie dowolnego kodu JavaScript w kontekście przeglądarki ofiary.

CVE-2026-54219
Średnie

UBB.threads jest podatny na przechowywane XSS poprzez posty użytkowników oraz pola profilu użytkownika. Aplikacja nieprawidłowo oczyszcza dane wejściowe, co pozwala atakującym o niskich uprawnieniach na wstrzykiwanie dowolnego kodu JavaScript, który wykonuje się w przeglądarce ofiary po jej wyświetleniu.

CVE-2026-44942
Średnie

W libzypp przed wersją 17.38.13 w serii 17.x oraz przed 16.22.19 występuje podatność na przejście ścieżki w obsłudze komponentu 'path' plików .repo. Atakujący mogą wykorzystać tę lukę do wypełnienia katalogów na systemie poza pamięcią podręczną zypp zawartością.

CVE-2026-42490
Średnie

Podatność CVE-2026-42490 dotyczy sposobu, w jaki system zdobywa blokadę dla operacji związanych z zarządzaniem gośćmi w środowisku Xen. W przypadku użycia XSM/Flask, zdobycie blokady może nastąpić przed sprawdzeniem uprawnień, co stwarza ryzyko nieautoryzowanego dostępu.

CVE-2026-42489
Średnie

CVE-2026-42489 dotyczy braku sprawiedliwości w sposobie nabywania blokady systemowej podczas operacji domctl, co może prowadzić do problemów z równoległym wykonywaniem tych operacji.

CVE-2026-12539
Średnie

Podatność w Docker Sandboxes (sbx) polega na tym, że blokada ruchu ICMP (egress) jest stosowana tylko podczas tworzenia sieci, ale nie jest ponownie aplikowana po restarcie demona Dockera. W rezultacie sandbox, który przetrwa restart, umożliwia wysyłanie pakietów ICMP do dowolnych hostów.

CVE-2026-12527
Średnie

W firmware kamery IP V380 firmy Shenzhen Liandian Communication Technology LTD występuje luka związana z naruszeniem granic autoryzacji w pipeline'ie dostarczania mediów RTSP. Umożliwia to nieautoryzowanym aktorom sieciowym ominięcie procesu uwierzytelniania i bezpośrednie uzyskanie dostępu do strumienia wideo na żywo.

CVE-2026-12039
Średnie

Podatność w Docker Sandboxes (sbx) pozwala na ominięcie listy dozwolonych domen HTTP/S poprzez wykorzystanie tunelowania DNS. Wbudowany serwer DNS przekazuje zapytania do hosta bez sprawdzania polityki, co umożliwia nieufnemu obciążeniu eksfiltrację danych zakodowanych w etykietach DNS.

CVE-2026-8039
Średnie

Wtyczka Fancy Testimonials dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez atrybut 'author' w skrócie 'testimonial' we wszystkich wersjach do 1.0 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia.

CVE-2026-50643
Średnie

8cc jest podatny na odczyt poza zakresem z powodu niewłaściwego przetwarzania dyrektyw #line i znaczników GNU. Kompilator akceptuje kontrolowane przez atakującego metadane dotyczące nazw plików i numerów linii, które są później używane bez walidacji.

CVE-2026-2021
Średnie

Wtyczka Slideshow Gallery LITE dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez atrybut 'alwaysauto' shortcode w wersjach do 1.8.5 włącznie. Problem wynika z niewystarczającej sanitizacji danych wejściowych oraz ucieczki danych wyjściowych dla atrybutów dostarczanych przez użytkowników.

CVE-2026-9815
Średnie

Wtyczka MagicForm dla WordPressa w wersji do 0.1.3 nieprawidłowo waliduje typ plików przesyłanych przez nieautoryzowaną akcję AJAX, gdy lista dozwolonych rozszerzeń dla pól formularza jest pusta. To pozwala nieautoryzowanym atakującym na przesyłanie plików PHP i wykonywanie dowolnego kodu na serwerze.

PoprzedniaStrona 87 z 514Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS