Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-55748
Średnie

OpenStack Horizon przed wersją 25.7.4 generuje skrypty do pobierania plików RC OpenStack, które mogą zawierać spreparowaną nazwę projektu z metaznakami powłoki.

CVE-2026-48142
Średnie

NGINX Plus i NGINX Open Source mają podatność w module ngx_http_charset_module. Atakujący mogą wysłać odpowiednie żądania, co prowadzi do nadmiernego odczytu bufora w procesie roboczym NGINX, co może skutkować ograniczonym ujawnieniem pamięci lub restartem.

CVE-2026-48117
Średnie

Platforma detekcji dronów DroneAware była podatna na atak pre-hijackingowy konta, w którym atakujący mógł zarejestrować konto przy użyciu adresu e-mail ofiary z hasłem kontrolowanym przez atakującego, zanim ofiara aktywowała konto. Po aktywacji konta przez właściciela, hasło ustalone przez atakującego stawało się ważne, co umożliwiało przejęcie konta bez powiadomienia ofiary.

CVE-2026-40641
Średnie

Dell PowerFlex Manager w wersjach przed 5.1.0.1 zawiera podatność związaną z użyciem uszkodzonego lub ryzykownego algorytmu kryptograficznego. Nieautoryzowany atakujący zdalny może potencjalnie wykorzystać tę podatność, co prowadzi do ujawnienia informacji oraz manipulacji danymi.

CVE-2026-35162
Średnie

Dell PowerFlex Manager w wersjach przed 5.1.0.1 zawiera podatność na niewłaściwą kontrolę dostępu. Atakujący z niskimi uprawnieniami, mający zdalny dostęp, może wykorzystać tę podatność, co może prowadzić do odmowy usługi.

CVE-2026-35067
Średnie

Dell PowerFlex Manager w wersjach przed 5.1.0.1 zawiera podatność na niewłaściwą kontrolę dostępu. Atakujący z niskimi uprawnieniami, mający dostęp do sąsiedniej sieci, może wykorzystać tę podatność, co prowadzi do podniesienia uprawnień i nieautoryzowanego dostępu.

CVE-2026-12528
Średnie

W 389 Directory Server w funkcji __aclp__normalize_acltxt() w pliku aclparse.c wykryto podatność polegającą na braku walidacji długości słowa kluczowego ACI po usunięciu białych znaków. Może to prowadzić do zapisu i odczytu poza dozwolonym obszarem pamięci sterty (heap-buffer-overflow).

CVE-2026-10850
Średnie

Plane CE w wersji 1.3.1 pozwala na to, aby członek projektu o niskich uprawnieniach mógł przesłać dowolny kod HTML/JS w polu description_html podczas tworzenia elementu pracy przez API v1 intake.

CVE-2024-47477
Średnie

Dell PowerFlex Manager w wersjach przed 4.5.1.1 zawiera podatność na niewłaściwą walidację certyfikatów. Zdalny, nieautoryzowany atakujący może wykorzystać tę podatność do przeprowadzenia ataku typu man-in-the-middle w połączeniu z zatruciem pamięci podręcznej DNS.

CVE-2026-9591
Średnie

W kontrolerze NewsItemApiController w SimplCommerce przed commit 6233d73e występuje podatność na atak typu cross-site request forgery (CSRF), która pozwala nieautoryzowanemu zdalnemu atakującemu na tworzenie lub modyfikowanie elementów wiadomości jako administratora poprzez przesłanie spreparowanego formularza do `/api/news-items`, z powodu braku ochrony przed CSRF.

CVE-2026-54817
Średnie

Podatność w API MStore FluxBuilder umożliwia obejście uwierzytelnienia poprzez alternatywną ścieżkę lub kanał, co pozwala na wykorzystanie funkcji odzyskiwania hasła.

CVE-2026-52716
Średnie

W wersjach WorkScout-Core do 1.7.11 występuje podatność umożliwiająca nieautoryzowane usunięcie dowolnego pliku.

CVE-2025-15657
Średnie

W wersjach School Management <= 93.1.0 występuje podatność na nieautoryzowane bezpośrednie odniesienia do obiektów (IDOR). Umożliwia to atakującym dostęp do danych, do których nie powinni mieć dostępu.

CVE-2026-8607
Średnie

Wtyczka myCred dla WordPressa, odpowiedzialna za zarządzanie punktami w programach lojalnościowych, jest podatna na atak typu Stored Cross-Site Scripting poprzez atrybut 'wrap' Shortcode. Problem ten występuje we wszystkich wersjach do 3.1 włącznie z powodu niewystarczającej sanitizacji danych wejściowych i ucieczki danych wyjściowych.

CVE-2026-8494
Średnie

Wtyczka Permalink Manager Lite dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez tytuły postów w interfejsie Edytora URI w panelu administracyjnym. Problem dotyczy wszystkich wersji do i włącznie z 2.5.3.3 z powodu niewystarczającego zabezpieczenia wyjścia.

CVE-2026-8383
Średnie

Wtyczka LearnPress dla WordPressa przed wersją 4.3.7 nie zabezpiecza kontekstu `edit` na jednym ze swoich punktów końcowych REST, co pozwala nieautoryzowanym użytkownikom na uzyskanie informacji o rolach użytkowników, pełnej mapie uprawnień, dodatkowych uprawnieniach, lokalizacji oraz dacie rejestracji za pomocą odpowiednio skonstruowanego żądania.

CVE-2026-7850
Średnie

Wtyczka WP Magnific Popup dla WordPressa w wersji do 1.0 nieprawidłowo ucieka linki kontrolowane przez użytkownika przed ich wstrzyknięciem do DOM, co pozwala na ataki typu Stored Cross-Site Scripting.

CVE-2026-55706
Średnie

W systemie OpenBSD przed wersją 076e2b1 występuje luka w funkcji sppp_pap_input, która umożliwia obejście uwierzytelniania poprzez wykorzystanie określonych zerowych wartości długości.

CVE-2026-54196
Średnie

Wersje JetFormBuilder do 3.6.1 zawierają podatność umożliwiającą eskalację uprawnień subskrybenta.

CVE-2026-49072
Średnie

Wtyczka WooCommerce Anti-Fraud w wersjach do 7.2.6 zawiera lukę w kontroli dostępu, która pozwala na nieautoryzowany dostęp do funkcji.

PoprzedniaStrona 91 z 514Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS