Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
OpenStack Horizon przed wersją 25.7.4 generuje skrypty do pobierania plików RC OpenStack, które mogą zawierać spreparowaną nazwę projektu z metaznakami powłoki.
NGINX Plus i NGINX Open Source mają podatność w module ngx_http_charset_module. Atakujący mogą wysłać odpowiednie żądania, co prowadzi do nadmiernego odczytu bufora w procesie roboczym NGINX, co może skutkować ograniczonym ujawnieniem pamięci lub restartem.
Platforma detekcji dronów DroneAware była podatna na atak pre-hijackingowy konta, w którym atakujący mógł zarejestrować konto przy użyciu adresu e-mail ofiary z hasłem kontrolowanym przez atakującego, zanim ofiara aktywowała konto. Po aktywacji konta przez właściciela, hasło ustalone przez atakującego stawało się ważne, co umożliwiało przejęcie konta bez powiadomienia ofiary.
Dell PowerFlex Manager w wersjach przed 5.1.0.1 zawiera podatność związaną z użyciem uszkodzonego lub ryzykownego algorytmu kryptograficznego. Nieautoryzowany atakujący zdalny może potencjalnie wykorzystać tę podatność, co prowadzi do ujawnienia informacji oraz manipulacji danymi.
Dell PowerFlex Manager w wersjach przed 5.1.0.1 zawiera podatność na niewłaściwą kontrolę dostępu. Atakujący z niskimi uprawnieniami, mający zdalny dostęp, może wykorzystać tę podatność, co może prowadzić do odmowy usługi.
Dell PowerFlex Manager w wersjach przed 5.1.0.1 zawiera podatność na niewłaściwą kontrolę dostępu. Atakujący z niskimi uprawnieniami, mający dostęp do sąsiedniej sieci, może wykorzystać tę podatność, co prowadzi do podniesienia uprawnień i nieautoryzowanego dostępu.
W 389 Directory Server w funkcji __aclp__normalize_acltxt() w pliku aclparse.c wykryto podatność polegającą na braku walidacji długości słowa kluczowego ACI po usunięciu białych znaków. Może to prowadzić do zapisu i odczytu poza dozwolonym obszarem pamięci sterty (heap-buffer-overflow).
Plane CE w wersji 1.3.1 pozwala na to, aby członek projektu o niskich uprawnieniach mógł przesłać dowolny kod HTML/JS w polu description_html podczas tworzenia elementu pracy przez API v1 intake.
Dell PowerFlex Manager w wersjach przed 4.5.1.1 zawiera podatność na niewłaściwą walidację certyfikatów. Zdalny, nieautoryzowany atakujący może wykorzystać tę podatność do przeprowadzenia ataku typu man-in-the-middle w połączeniu z zatruciem pamięci podręcznej DNS.
W kontrolerze NewsItemApiController w SimplCommerce przed commit 6233d73e występuje podatność na atak typu cross-site request forgery (CSRF), która pozwala nieautoryzowanemu zdalnemu atakującemu na tworzenie lub modyfikowanie elementów wiadomości jako administratora poprzez przesłanie spreparowanego formularza do `/api/news-items`, z powodu braku ochrony przed CSRF.
Podatność w API MStore FluxBuilder umożliwia obejście uwierzytelnienia poprzez alternatywną ścieżkę lub kanał, co pozwala na wykorzystanie funkcji odzyskiwania hasła.
W wersjach WorkScout-Core do 1.7.11 występuje podatność umożliwiająca nieautoryzowane usunięcie dowolnego pliku.
W wersjach School Management <= 93.1.0 występuje podatność na nieautoryzowane bezpośrednie odniesienia do obiektów (IDOR). Umożliwia to atakującym dostęp do danych, do których nie powinni mieć dostępu.
Wtyczka myCred dla WordPressa, odpowiedzialna za zarządzanie punktami w programach lojalnościowych, jest podatna na atak typu Stored Cross-Site Scripting poprzez atrybut 'wrap' Shortcode. Problem ten występuje we wszystkich wersjach do 3.1 włącznie z powodu niewystarczającej sanitizacji danych wejściowych i ucieczki danych wyjściowych.
Wtyczka Permalink Manager Lite dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez tytuły postów w interfejsie Edytora URI w panelu administracyjnym. Problem dotyczy wszystkich wersji do i włącznie z 2.5.3.3 z powodu niewystarczającego zabezpieczenia wyjścia.
Wtyczka LearnPress dla WordPressa przed wersją 4.3.7 nie zabezpiecza kontekstu `edit` na jednym ze swoich punktów końcowych REST, co pozwala nieautoryzowanym użytkownikom na uzyskanie informacji o rolach użytkowników, pełnej mapie uprawnień, dodatkowych uprawnieniach, lokalizacji oraz dacie rejestracji za pomocą odpowiednio skonstruowanego żądania.
Wtyczka WP Magnific Popup dla WordPressa w wersji do 1.0 nieprawidłowo ucieka linki kontrolowane przez użytkownika przed ich wstrzyknięciem do DOM, co pozwala na ataki typu Stored Cross-Site Scripting.
W systemie OpenBSD przed wersją 076e2b1 występuje luka w funkcji sppp_pap_input, która umożliwia obejście uwierzytelniania poprzez wykorzystanie określonych zerowych wartości długości.
Wersje JetFormBuilder do 3.6.1 zawierają podatność umożliwiającą eskalację uprawnień subskrybenta.
Wtyczka WooCommerce Anti-Fraud w wersjach do 7.2.6 zawiera lukę w kontroli dostępu, która pozwala na nieautoryzowany dostęp do funkcji.

