Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-12202
Niskie

Wykryto podatność w systemie zarządzania treścią Intelliants Subrion CMS w wersjach do 4.0.3. Problem dotyczy nieznanej funkcjonalności komponentu Blocks Endpoint, gdzie manipulacja nazwą klasy CSS prowadzi do ataku typu cross-site scripting.

CVE-2026-9062
Niskie

Wtyczka Store Locator dla WordPressa w wersjach przed 1.6.9 nie waliduje parametru przed jego użyciem w ścieżce pliku, co pozwala użytkownikom z wysokimi uprawnieniami, takim jak administratorzy, na odczyt dowolnych plików `.php` z serwera.

CVE-2026-9061
Niskie

Wtyczka Store Locator dla WordPressa przed wersją 1.6.9 nie sanitizuje i nie ucieka metadanych logo sklepu przed ich zapisaniem i wyświetleniem na stronie administracyjnej, co pozwala użytkownikom z wysokimi uprawnieniami, takim jak administratorzy, na przeprowadzenie ataków typu Stored Cross-Site Scripting, nawet gdy możliwość `unfiltered_html` jest zablokowana.

CVE-2026-53837
Niskie

OpenClaw przed wersją 2026.5.6 zawiera lukę w kontroli dostępu w obsłudze zdarzeń Mattermost, która nie weryfikuje metadanych typu kanału. Atakujący mogą obejść zamierzone decyzje polityki DM, wysyłając spreparowane zdarzenia Mattermost, które nie zawierają informacji o typie kanału, co pozwala na przetwarzanie ograniczonej treści.

CVE-2026-53607
Niskie

ApostropheCMS to system zarządzania treścią oparty na Node.js, który w wersjach do 4.30.0 ma lukę związaną z obsługą `prettyUrls`. Gdy ta opcja jest włączona, atakujący może wykorzystać nagłówek `Host` do wysyłania żądań HTTP do dowolnego hosta w sieci prywatnej.

CVE-2026-12130
Niskie

W systemie zarządzania zasobami ludzkimi CodeAstro 1.0 odkryto lukę bezpieczeństwa, która dotyczy nieznanej części pliku /Projects/Add_Projects w komponencie Strona zarządzania projektami. Manipulacja argumentem protitle prowadzi do ataków typu cross site scripting.

CVE-2026-12129
Niskie

Zidentyfikowano podatność w systemie zarządzania zasobami ludzkimi CodeAstro w wersji 1.0. Problem dotyczy nieznanej funkcjonalności pliku /dashboard/add_tod w interfejsie dashboard, gdzie manipulacja argumentem todo_data prowadzi do ataku typu cross-site scripting.

CVE-2026-53724
Niskie

Parse Server przed wersjami 8.6.79 i 9.9.1-alpha.4 pozwalał na obejście domyślnej listy blokowanych rozszerzeń plików poprzez dodanie kropki na końcu nazwy pliku. To umożliwia atakującym przesyłanie plików z niebezpiecznymi typami MIME, co prowadzi do możliwości wykonania ataków XSS.

CVE-2026-12065
Niskie

Zidentyfikowano podatność w aplikacji Groww Stock, Mutual Fund, Gold na Androida, która dotyczy nieznanej części komponentu WebView URL Handler. Manipulacja prowadzi do niewłaściwej autoryzacji w obsłudze niestandardowego schematu URL.

CVE-2026-48485
Niskie

Quest Bot to otwartoźródłowy bot Discord, który przed wersją 1.1.6 nie tłumił wzmiankowania przy wywoływaniu komendy /warns, co mogło prowadzić do masowego pingowania użytkowników.

CVE-2026-9269
Niskie

Wtyczka Secure Copy Content Protection i Content Locking dla WordPressa przed wersją 5.1.5 nie sanitizuje i nie ucieka niektórych swoich ustawień, co może umożliwić użytkownikom o wysokich uprawnieniach, takim jak administratorzy, przeprowadzenie ataków typu Stored Cross-Site Scripting, nawet gdy możliwość unfiltered_html jest zablokowana.

CVE-2026-12032
Niskie

Nieodpowiednia implementacja w systemie haseł w Google Chrome na Androidzie przed wersją 149.0.7827.115 umożliwiła zdalnemu atakującemu, który przejął proces renderowania, ominięcie izolacji witryn za pomocą spreparowanej strony HTML.

CVE-2026-12017
Niskie

Nieodpowiednia implementacja w rozszerzeniach Google Chrome przed wersją 149.0.7827.115 umożliwiała zdalnemu atakującemu, który przejął proces renderowania, obejście izolacji witryn za pomocą spreparowanej strony HTML.

CVE-2026-53809
Niskie

OpenClaw w wersjach przed 2026.4.25 zawiera lukę w polityce, która pozwala na obejście zasad wbudowanego runnera. Umożliwia to atakującym porównywanie aliasów dostawców zamiast ich kanonicznych tożsamości, co może prowadzić do nieautoryzowanego dostępu do narzędzi.

CVE-2026-47188
Niskie

Quest Bot to otwartoźródłowy bot Discorda, który przed wersją 1.0.5 nie tłumił wzmiankowania w niektórych komendach moderacyjnych. Komendy /unban i /unwarn nadal wysyłały tekst powodu kontrolowanego przez użytkownika w publicznych wiadomościach bota, co mogło prowadzić do masowego pingowania.

CVE-2026-47175
Niskie

Quest Bot to nowoczesny bot Discord stworzony do moderacji, narzędzi i wsparcia. W wersjach przed 1.0.4, kilka komend moderacyjnych wyświetlało tekst powodów kontrolowanych przez użytkownika w publicznych odpowiedziach bota, nie wyłączając analizy wzmiankowania.

CVE-2026-44489
Niskie

Podatność w Axios, kliencie HTTP, pozwala na wstrzyknięcie złośliwych danych do nagłówka Proxy-Authorization w przypadku, gdy obiekt proxy jest zanieczyszczony. Problem występuje w wersjach od 1.15.2 do przed 1.16.0, gdzie funkcja setProxy() nie sprawdza właściwości obiektów.

CVE-2026-11956
Niskie

W podatności CVE-2026-11956 zidentyfikowano problem w wersji 5.36.0 komponentu TwiN gatus, dotyczący funkcji setSessionCookie w pliku security/oidc.go. Manipulacja tą funkcją może prowadzić do uzyskania wrażliwego ciasteczka bez atrybutu secure.

CVE-2026-9694
Niskie

GitLab naprawił problem w GitLab CE/EE, który dotyczy wszystkich wersji od 15.9 przed 18.10.8, 18.11 przed 18.11.5 oraz 19.0 przed 19.0.2. W określonych warunkach, nieautoryzowany użytkownik mógł podszyć się pod GitLab Support Bot i wstrzyknąć dowolną treść poprzez specjalnie przygotowaną odpowiedź e-mail w Service Desk z powodu niewłaściwego przetwarzania szablonów e-mail.

CVE-2026-6976
Niskie

GitLab naprawił problem w GitLab CE/EE, który dotyczył wszystkich wersji od 15.9 przed 18.10.8, 18.11 przed 18.11.5 oraz 19.0 przed 19.0.2. W określonych warunkach, uwierzytelniony użytkownik z uprawnieniami dewelopera mógł ukryć zmiany w widokach różnic zgłoszeń scalania z powodu niewłaściwego przetwarzania nazw plików.

PoprzedniaStrona 9 z 60Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS