Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
Runtipi w wersjach 4.9.1 do 4.9.3 umożliwia odczyt dowolnych plików przez nieautoryzowany punkt końcowy, co prowadzi do ujawnienia lokalnych plików z kontenera Runtipi. Problem wynika z niewłaściwego sprawdzania ścieżek dla symbolicznych linków w repozytoriach aplikacji.
W WPBakery Page Builder w wersjach do 8.7.2 występuje problem z kontrolą dostępu, który może umożliwić nieautoryzowanym użytkownikom dostęp do zasobów subskrybentów.
W frameworku CarrierWave, w wersjach przed 2.2.7 i 3.1.3, sprawdzenie denylisty content_type_denylist nie poprawnie obsługuje metaznaki regex w wpisach tekstowych, co prowadzi do braku blokowania zamierzonych typów zawartości. W rezultacie aplikacje mogą być narażone na ataki XSS poprzez przesyłanie plików SVG zawierających złośliwy JavaScript.
Podatność związana z nieprawidłową autoryzacją pozwala użytkownikom na dostęp do informacji o instancjach workflow, które należą do projektów, do których nie mają uprawnień.
Podatność związana z nieprawidłową autoryzacją pozwala użytkownikom z uprawnieniami logowania do systemu na usuwanie definicji zadań w nieautoryzowanych projektach.
Wersje CP Client Portal (Pro) do 5.6.2 mają podatność umożliwiającą pobieranie dowolnych plików przez nieautoryzowanych użytkowników.
Wersje Bricks Builder do 2.1.4 zawierają lukę w kontroli dostępu, która może pozwolić subskrybentom na nieautoryzowany dostęp do zasobów.
W Yoast SEO Premium występuje luka związana z brakiem autoryzacji, która pozwala na wykorzystanie nieprawidłowo skonfigurowanych poziomów kontroli dostępu.
Wersje W3 Total Cache do 2.9.1 zawierają błąd związany z niewłaściwą kontrolą dostępu, co może prowadzić do nieautoryzowanego dostępu do zasobów.
W wersjach Valiance <= 1.2 występuje podatność na nieautoryzowaną injekcję obiektów PHP.
Wersje Playroom do 1.4.1 zawierają podatność na nieautoryzowaną injekcję obiektów PHP.
W WPAMS w wersjach poniżej 49.5.3 występuje podatność umożliwiająca subskrybentom usuwanie dowolnych treści.
W systemie evolution-data-server znaleziono lukę, która pozwala na nieprawidłowe porównanie w backendzie pliku książki adresowej. Aplikacja Flatpak z dostępem do D-Bus może stworzyć złośliwy URI z sekwencjami przejścia katalogów, co prowadzi do usunięcia dowolnych plików z systemu plików hosta.
W MmsSmsProvider w pliku MmsSmsProvider.java występuje możliwość uzyskania wrażliwych informacji z powodu braku sprawdzenia uprawnień. Może to prowadzić do lokalnego ujawnienia informacji bez potrzeby dodatkowych uprawnień wykonawczych.
W dostawcy kontaktów istnieje możliwość dostępu do bazy danych kontaktów z powodu podatności na wstrzykiwanie SQL. Może to prowadzić do ujawnienia lokalnych informacji bez potrzeby dodatkowych uprawnień wykonawczych.
W pliku PackageInstallerSession.java występuje błąd logiczny, który może prowadzić do ataku wyczerpania pamięci. Może to skutkować lokalnym odmową usługi bez potrzeby dodatkowych uprawnień wykonawczych.
Podatność Cross-Site Scripting (XSS) w urządzeniu Regesta Smart HD-PLC firmy Teldat pozwala atakującemu z dostępem sieciowym na wstrzyknięcie dowolnego kodu JavaScript poprzez pole 'Hostname' w pliku konfiguracyjnym. Atak wymaga uwierzytelnienia i prowadzi do wykonania skryptu w kontekście ścieżki /upgrade/query.php?cmd=p+3%3Bversion.
Podatność w urządzeniu Regesta Smart HD-PLC firmy Teldat umożliwia atakującemu z dostępem sieciowym (bez uwierzytelniania) przeprowadzenie ataku Slow Loris, powodując odmowę usługi (DoS) na interfejsie webowym. Problem dotyczy wersji oprogramowania TLDPH16D2 11.02.05.10.02.
Podatność w urządzeniu Regesta Smart HD-PLC firmy Teldat umożliwia osobie atakującej z dostępem sieciowym (bez uwierzytelniania) uzyskanie informacji o uprawnieniach poprzez wysłanie żądania Version na ścieżkę /upgrade/query.php?cmd=p+3&3Bversion. Problem dotyczy wersji oprogramowania TLDPH16D2 11.02.05.10.02.
W wersjach Slimstat Analytics poniżej 5.4.0 występuje podatność na nieautoryzowaną deserializację niezaufanych danych.

