Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-53690
Krytyczne

W systemie Redeight CMS w wersji 1.0 wykryto podatność na wstrzykiwanie SQL w parametrze "userEmail" w punkcie końcowym POST "/admin/index.php". Aplikacja nie oczyszcza danych wejściowych i bezpośrednio interpoluje je do zapytań SQL bez użycia przygotowanych wyrażeń, co umożliwia nieuwierzytelnionym zdalnym atakującym wykonanie dowolnych poleceń SQL i wyodrębnienie wrażliwych danych z bazy.

CVE-2026-41053
Wysokie

Nieprawidłowe buforowanie uwierzytelniania w rozszerzaniu członkostwa zespołu dostawcy uwierzytelniania Github w Rancher powodowało przyznawanie dostępu głównego każdemu zalogowanemu użytkownikowi. Podatność dotyczy wersji 2.13 przed 2.13.6 oraz 2.14 przed 2.14.2.

CVE-2026-14162
Krytyczne

Podatność w systemie Hospital Queuing Management firmy Advantech umożliwia nieuwierzytelnionym zdalnym atakującym dostęp do dokumentacji API poprzez określony URL, co prowadzi do ujawnienia wrażliwych danych.

CVE-2026-14161
Wysokie

Hospital Quening Management firmy Advantech zawiera podatność na ujawnienie wrażliwych danych, umożliwiającą nieuwierzytelnionym zdalnym atakującym dostęp do konkretnego adresu URL w celu uzyskania dokumentacji API.

CVE-2026-13766
Krytyczne

DBIx::QuickORM w wersjach przed 0.000026 dla Perla zawiera podatność na wstrzykiwanie SQL przez niecytowane identyfikatory SQL. Domyślny konstruktor SQL::Abstract nie ustawia quote_char, przez co identyfikatory są przekazywane w surowej postaci do zapytania SQL.

CVE-2026-54475
Wysokie

W Apache ActiveMQ wykryto brak autoryzacji dla tymczasowych kolejek. Oczekiwano, że tymczasowe kolejki będą izolowane dla połączenia, które je utworzyło, jednak izolacja ta jest sprawdzana tylko po stronie klienta, co pozwala innemu połączeniu na konsumpcję z tymczasowej kolejki innego połączenia.

CVE-2026-53917
WysokieEPSS 52%

Podatność w Apache ActiveMQ pozwala uwierzytelnionemu użytkownikowi na przeprowadzenie ataku DoS na broker poprzez wysłanie spreparowanej wiadomości OpenWire z zawyżoną wartością rozmiaru mapy. Brak walidacji rozmiaru podczas deserializacji map właściwości wiadomości może prowadzić do wyczerpania pamięci (OOM) i awarii brokera.

CVE-2026-53916
WysokieEPSS 52%

Podatność w Apache ActiveMQ pozwala nieuwierzytelnionemu klientowi na wysłanie przez STOMP NIO nagłówków, które nigdy się nie kończą, co powoduje nieograniczone buforowanie przez brokera i wyczerpanie sterty JVM.

CVE-2026-52760
Średnie

W Apache ActiveMQ i jego konsoli WWW wykryto podatność na atak XSS (Cross-site Scripting). Strona przeglądania kolejek wyświetla identyfikator wiadomości bez odpowiedniej sanityzacji, co pozwala uwierzytelnionemu producentowi wysłać wiadomość z spreparowanym identyfikatorem JMS zawierającym HTML/JavaScript. Gdy administrator przegląda kolejkę w konsoli, kod wykonuje się w jego przeglądarce.

CVE-2026-50750
Wysokie

Podatność w Apache ActiveMQ umożliwia niezautoryzowanemu atakującemu spowodowanie wyczerpania pamięci (OOM) poprzez wysyłanie powtarzających się poleceń BrokerInfo bez ConnectionInfo, co prowadzi do awarii brokera.

CVE-2026-50734
WysokieEPSS 52%

Podatność w Apache ActiveMQ pozwala nieuwierzytelnionemu atakującemu na zdalne spowodowanie odmowy usługi (DoS) brokera poprzez wysłanie spreparowanej ramki WireFormatInfo z złośliwie dużą wartością rozmiaru. Brak walidacji tej wartości prowadzi do próby alokacji pamięci podczas negocjacji przed uwierzytelnieniem, co może wywołać przepełnienie pamięci (OOM) i crash brokera.

CVE-2026-49877
Wysokie

W Apache ActiveMQ wykryto podatność polegającą na nieprawidłowej autoryzacji. Domyślnie uwierzytelniony użytkownik z niskimi uprawnieniami może uzyskać dostęp do ścieżek /admin/* w konsoli WWW, co powinno być zarezerwowane tylko dla administratorów. Problem wynika z błędnej konfiguracji Jetty.

CVE-2026-49434
Wysokie

Podatność związana z nieprawidłową walidacją danych wejściowych w Apache ActiveMQ umożliwia atakującemu z dostępem do LDAP na tworzenie niedozwolonych transportów w JVM brokera. Może to prowadzić do pobrania złośliwego adresu URL i uruchomienia drugiej instancji BrokerService w tej samej maszynie wirtualnej.

CVE-2026-49432
WysokieEPSS 53%

W Apache ActiveMQ wykryto podatność polegającą na nieprawidłowej walidacji danych wejściowych w protokole STOMP. Zdalny, nieuwierzytelniony atakujący może wysłać ujemny nagłówek content-length, powodując odmowę usługi (DoS). W przypadku transportu NIO STOMP prowadzi to do wyczerpania pamięci (OOM), a dla blokującego STOMP do błędów zamykających połączenie.

CVE-2026-13316
Średnie

W oprogramowaniu Foreman wykryto podatność polegającą na możliwości modyfikacji parametrów HTTP w kontrolerze http_proxies_controller oraz plikach http_proxy. Atakujący może przeprowadzić atak SSRF i wykraść metadane usług chmurowych w środowiskach AWS, GCP lub Azure.

CVE-2026-9711
Krytyczne

Wtyczka EventON dla WordPressa do wersji 5.0.11 zawiera podatność na wstrzykiwanie SQL przez parametr 'search'. Brak odpowiedniego escapowania i przygotowania zapytań SQL umożliwia nieuwierzytelnionym atakującym dołączanie dodatkowych zapytań, co pozwala na wyodrębnienie poufnych danych z bazy, jeśli włączona jest opcja 'Enable additional search queries' i istnieje co najmniej jedno opublikowane wydarzenie.

CVE-2026-8141
Wysokie

Wtyczka Ajax Load More - Filters dla WordPressa jest podatna na przechowywany atak XSS przez parametr 'taxonomy_include_children' we wszystkich wersjach do 3.4.1 włącznie. Podatność wynika z niedostatecznego oczyszczania danych wejściowych i braku odpowiedniego kodowania wyjścia.

CVE-2026-6954
Średnie

Podatność Cross-Site Scripting (XSS) w WebControl CMS v3.5 firmy Intermark IT. Atakujący może wykonać kod JavaScript lub wstrzyknąć dynamiczny iframe w przeglądarce ofiary, wysyłając złośliwy URL przez parametr 'urlDestino' w '/portal.do'.

CVE-2026-6953
Średnie

W CMS WebControl v3.5 firmy Intermark IT wykryto podatność na wstrzykiwanie kodu HTML. Atakujący może wysłać ofierze wiadomość e-mail zawierającą złośliwy kod HTML za pomocą formularza kontaktowego. Wykorzystanie podatności wymaga wysłania żądania z parametrami 'nombreApellidos', 'dirección' i 'comentarios' do '/processContact.do'.

CVE-2026-12610
Średnie

W bibliotece SSSD (System Security Services Daemon) wykryto podatność use-after-free w komponencie PAM odpowiedzialnym za uwierzytelnianie za pomocą YubiKey. Błąd wynika z nieprawidłowego zarządzania wskaźnikiem pamięci, co może prowadzić do awarii procesu. Lokalny atakujący może wykorzystać tę lukę poprzez manipulację zawartością karty inteligentnej lub YubiKey.

PoprzedniaStrona 91 z 4466Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS