Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-47277
Średnie

Runtipi w wersjach 4.9.1 do 4.9.3 umożliwia odczyt dowolnych plików przez nieautoryzowany punkt końcowy, co prowadzi do ujawnienia lokalnych plików z kontenera Runtipi. Problem wynika z niewłaściwego sprawdzania ścieżek dla symbolicznych linków w repozytoriach aplikacji.

CVE-2026-45436
Średnie

W WPBakery Page Builder w wersjach do 8.7.2 występuje problem z kontrolą dostępu, który może umożliwić nieautoryzowanym użytkownikom dostęp do zasobów subskrybentów.

CVE-2026-44587
Średnie

W frameworku CarrierWave, w wersjach przed 2.2.7 i 3.1.3, sprawdzenie denylisty content_type_denylist nie poprawnie obsługuje metaznaki regex w wpisach tekstowych, co prowadzi do braku blokowania zamierzonych typów zawartości. W rezultacie aplikacje mogą być narażone na ataki XSS poprzez przesyłanie plików SVG zawierających złośliwy JavaScript.

CVE-2026-42357
Średnie

Podatność związana z nieprawidłową autoryzacją pozwala użytkownikom na dostęp do informacji o instancjach workflow, które należą do projektów, do których nie mają uprawnień.

CVE-2026-41280
Średnie

Podatność związana z nieprawidłową autoryzacją pozwala użytkownikom z uprawnieniami logowania do systemu na usuwanie definicji zadań w nieautoryzowanych projektach.

CVE-2026-40724
Średnie

Wersje CP Client Portal (Pro) do 5.6.2 mają podatność umożliwiającą pobieranie dowolnych plików przez nieautoryzowanych użytkowników.

CVE-2026-40723
Średnie

Wersje Bricks Builder do 2.1.4 zawierają lukę w kontroli dostępu, która może pozwolić subskrybentom na nieautoryzowany dostęp do zasobów.

CVE-2026-40722
Średnie

W Yoast SEO Premium występuje luka związana z brakiem autoryzacji, która pozwala na wykorzystanie nieprawidłowo skonfigurowanych poziomów kontroli dostępu.

CVE-2026-39595
Średnie

Wersje W3 Total Cache do 2.9.1 zawierają błąd związany z niewłaściwą kontrolą dostępu, co może prowadzić do nieautoryzowanego dostępu do zasobów.

CVE-2026-39578
Średnie

W wersjach Valiance <= 1.2 występuje podatność na nieautoryzowaną injekcję obiektów PHP.

CVE-2026-39577
Średnie

Wersje Playroom do 1.4.1 zawierają podatność na nieautoryzowaną injekcję obiektów PHP.

CVE-2026-39433
Średnie

W WPAMS w wersjach poniżej 49.5.3 występuje podatność umożliwiająca subskrybentom usuwanie dowolnych treści.

CVE-2026-2604
Średnie

W systemie evolution-data-server znaleziono lukę, która pozwala na nieprawidłowe porównanie w backendzie pliku książki adresowej. Aplikacja Flatpak z dostępem do D-Bus może stworzyć złośliwy URI z sekwencjami przejścia katalogów, co prowadzi do usunięcia dowolnych plików z systemu plików hosta.

CVE-2026-28587
Średnie

W MmsSmsProvider w pliku MmsSmsProvider.java występuje możliwość uzyskania wrażliwych informacji z powodu braku sprawdzenia uprawnień. Może to prowadzić do lokalnego ujawnienia informacji bez potrzeby dodatkowych uprawnień wykonawczych.

CVE-2026-28576
Średnie

W dostawcy kontaktów istnieje możliwość dostępu do bazy danych kontaktów z powodu podatności na wstrzykiwanie SQL. Może to prowadzić do ujawnienia lokalnych informacji bez potrzeby dodatkowych uprawnień wykonawczych.

CVE-2026-28575
Średnie

W pliku PackageInstallerSession.java występuje błąd logiczny, który może prowadzić do ataku wyczerpania pamięci. Może to skutkować lokalnym odmową usługi bez potrzeby dodatkowych uprawnień wykonawczych.

CVE-2026-27870
Średnie

Podatność Cross-Site Scripting (XSS) w urządzeniu Regesta Smart HD-PLC firmy Teldat pozwala atakującemu z dostępem sieciowym na wstrzyknięcie dowolnego kodu JavaScript poprzez pole 'Hostname' w pliku konfiguracyjnym. Atak wymaga uwierzytelnienia i prowadzi do wykonania skryptu w kontekście ścieżki /upgrade/query.php?cmd=p+3%3Bversion.

CVE-2026-27869
Średnie

Podatność w urządzeniu Regesta Smart HD-PLC firmy Teldat umożliwia atakującemu z dostępem sieciowym (bez uwierzytelniania) przeprowadzenie ataku Slow Loris, powodując odmowę usługi (DoS) na interfejsie webowym. Problem dotyczy wersji oprogramowania TLDPH16D2 11.02.05.10.02.

CVE-2026-27868
Średnie

Podatność w urządzeniu Regesta Smart HD-PLC firmy Teldat umożliwia osobie atakującej z dostępem sieciowym (bez uwierzytelniania) uzyskanie informacji o uprawnieniach poprzez wysłanie żądania Version na ścieżkę /upgrade/query.php?cmd=p+3&3Bversion. Problem dotyczy wersji oprogramowania TLDPH16D2 11.02.05.10.02.

CVE-2026-27410
Średnie

W wersjach Slimstat Analytics poniżej 5.4.0 występuje podatność na nieautoryzowaną deserializację niezaufanych danych.

PoprzedniaStrona 92 z 514Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS