Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
Systemy EPDS i EDS nie weryfikują nagłówków HTTP X-Forwarded-For, co pozwala zdalnemu atakującemu z przejętymi uprawnieniami administratora na ominięcie kontroli dostępu do sieci i zalogowanie się.
Systemy EPDS i EDS ujawniają wrażliwe informacje o kontach poprzez punkt końcowy API 'update-profile/'. Zdalny, nieautoryzowany atakujący może wysłać żądanie z dowolnym parametrem 'user_id' i otrzymać odpowiedź JSON zawierającą informacje specyficzne dla konta, w tym powiązany adres e-mail.
Grav w wersji 2.0.0-rc.9 z Admin2 w wersji 2.0.0-rc.14 zawiera podatność typu XSS (cross-site scripting) w procesie zapisywania w API stron Admin2.
W wersjach Eclipse Theia przed 1.71.0, funkcja czatu AI renderowała tagi obrazów Markdown z odpowiedzi AI, co prowadziło do nieograniczonych żądań HTTP do zewnętrznych adresów URL. W połączeniu z wstrzyknięciem poleceń w złośliwym obszarze roboczym, atakujący mógł skłonić agenta AI do tworzenia adresów URL obrazów, które kodowały wrażliwe informacje.
W 389 Directory Server znaleziono usterkę polegającą na tym, że podczas przeładowywania schematu funkcja attr_syntax_swap_ht() bezwarunkowo zwalnia węzły informacji o składni atrybutów, pomijając mechanizm odroczonego usuwania oparty na licznikach referencji. Jeśli administrator uruchomi przeładowanie schematu w czasie, gdy aktywne są równoczesne zapytania LDAP, wątki robocze mogą uzyskać dostęp do zwolnionej pamięci, co prowadzi do użycia po zwolnieniu lub podwójnego zwolnienia i awarii serwera.
GeoServer przed wersjami 2.26.4 i 2.27.3 może pozwolić atakującemu na przeprowadzenie nieautoryzowanego ataku typu Server-Side Request Forgery (SSRF) przy użyciu `ENTITY_RESOLUTION_ALLOWLIST`. Wymaga to, aby GeoServer był skonfigurowany do używania adresu URL proxy bez ścieżki lub kończącego się ukośnikiem.
W podatności CVE-2026-56009 występuje niewłaściwa neutralizacja danych wejściowych podczas generowania stron internetowych w Bricksable dla Bricks Builder, co pozwala na ataki typu Stored XSS.
W podatności CVE-2026-56007 występuje niewłaściwa neutralizacja danych wejściowych podczas generowania stron internetowych w OceanWP Ocean Product Sharing, co prowadzi do możliwości wystąpienia ataków typu Stored XSS.
UBB.threads jest podatny na atak typu Reflected XSS. Aplikacja niewłaściwie obsługuje dane wejściowe użytkownika w niektórych żądaniach, co pozwala atakującym na wykonanie dowolnego kodu JavaScript w kontekście przeglądarki ofiary.
UBB.threads jest podatny na przechowywane XSS poprzez posty użytkowników oraz pola profilu użytkownika. Aplikacja nieprawidłowo oczyszcza dane wejściowe, co pozwala atakującym o niskich uprawnieniach na wstrzykiwanie dowolnego kodu JavaScript, który wykonuje się w przeglądarce ofiary po jej wyświetleniu.
W libzypp przed wersją 17.38.13 w serii 17.x oraz przed 16.22.19 występuje podatność na przejście ścieżki w obsłudze komponentu 'path' plików .repo. Atakujący mogą wykorzystać tę lukę do wypełnienia katalogów na systemie poza pamięcią podręczną zypp zawartością.
Podatność CVE-2026-42490 dotyczy sposobu, w jaki system zdobywa blokadę dla operacji związanych z zarządzaniem gośćmi w środowisku Xen. W przypadku użycia XSM/Flask, zdobycie blokady może nastąpić przed sprawdzeniem uprawnień, co stwarza ryzyko nieautoryzowanego dostępu.
CVE-2026-42489 dotyczy braku sprawiedliwości w sposobie nabywania blokady systemowej podczas operacji domctl, co może prowadzić do problemów z równoległym wykonywaniem tych operacji.
Podatność w Docker Sandboxes (sbx) polega na tym, że blokada ruchu ICMP (egress) jest stosowana tylko podczas tworzenia sieci, ale nie jest ponownie aplikowana po restarcie demona Dockera. W rezultacie sandbox, który przetrwa restart, umożliwia wysyłanie pakietów ICMP do dowolnych hostów.
W firmware kamery IP V380 firmy Shenzhen Liandian Communication Technology LTD występuje luka związana z naruszeniem granic autoryzacji w pipeline'ie dostarczania mediów RTSP. Umożliwia to nieautoryzowanym aktorom sieciowym ominięcie procesu uwierzytelniania i bezpośrednie uzyskanie dostępu do strumienia wideo na żywo.
Podatność w Docker Sandboxes (sbx) pozwala na ominięcie listy dozwolonych domen HTTP/S poprzez wykorzystanie tunelowania DNS. Wbudowany serwer DNS przekazuje zapytania do hosta bez sprawdzania polityki, co umożliwia nieufnemu obciążeniu eksfiltrację danych zakodowanych w etykietach DNS.
Wtyczka Fancy Testimonials dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez atrybut 'author' w skrócie 'testimonial' we wszystkich wersjach do 1.0 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia.
8cc jest podatny na odczyt poza zakresem z powodu niewłaściwego przetwarzania dyrektyw #line i znaczników GNU. Kompilator akceptuje kontrolowane przez atakującego metadane dotyczące nazw plików i numerów linii, które są później używane bez walidacji.
Wtyczka Slideshow Gallery LITE dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez atrybut 'alwaysauto' shortcode w wersjach do 1.8.5 włącznie. Problem wynika z niewystarczającej sanitizacji danych wejściowych oraz ucieczki danych wyjściowych dla atrybutów dostarczanych przez użytkowników.
Wtyczka MagicForm dla WordPressa w wersji do 0.1.3 nieprawidłowo waliduje typ plików przesyłanych przez nieautoryzowaną akcję AJAX, gdy lista dozwolonych rozszerzeń dla pól formularza jest pusta. To pozwala nieautoryzowanym atakującym na przesyłanie plików PHP i wykonywanie dowolnego kodu na serwerze.

