Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
Wtyczka SEO od Squirrly SEO w wersjach do 12.4.16 zawiera lukę w kontroli dostępu, która pozwala na nieautoryzowany dostęp.
W Metro Magazine od Rara Themes występuje luka związana z brakiem autoryzacji, która pozwala na wykorzystanie niepoprawnie skonfigurowanych poziomów kontroli dostępu.
Wtyczka WooCommerce Stripe Payment Gateway dla WordPress jest podatna na nieautoryzowaną modyfikację danych z powodu braku sprawdzenia uprawnień w funkcji `ajax_pay_for_order()`. Problem dotyczy wszystkich wersji do i włącznie z 10.7.0, gdzie brak jest weryfikacji własności zamówienia lub klucza zamówienia podczas przetwarzania płatności.
Wtyczka File Sharing & Download Manager – User Private Files dla WordPress jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez parametr 'fldr_ttl' we wszystkich wersjach do 2.1.6 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia. Umożliwia to uwierzytelnionym atakującym, posiadającym dostęp na poziomie subskrybenta lub wyższym, wstrzykiwanie dowolnych skryptów webowych na stronach, które będą wykonywane, gdy użytkownik uzyska dostęp do zainfekowanej strony.
Nokia SR Linux jest podatny na lokalną podatność eskalacji uprawnień. Skuteczne wykorzystanie tej podatności może pozwolić uwierzytelnionemu użytkownikowi na wykonywanie dowolnych poleceń z uprawnieniami superużytkownika.
Wtyczka Abandoned Contact Form 7 dla WordPressa jest podatna na nieautoryzowane usuwanie dowolnych postów w wersjach do 2.2 włącznie. Problem wynika z braku weryfikacji uprawnień oraz walidacji nonce w funkcji action__remove_abandoned().
Wtyczka RTMKit dla WordPressa jest podatna na błędną autoryzację we wszystkich wersjach do 2.0.7 włącznie. Problem wynika z braku sprawdzenia uprawnień w punkcie końcowym AJAX get_submission_content, co pozwala na dostęp do danych zgłoszeń formularzy przez nieuprawnionych użytkowników.
W oprogramowaniu Optical Disc Archive dla systemu Windows w wersji 5.5.3 i wcześniejszych występuje problem z nieprawidłowymi domyślnymi uprawnieniami. W przypadku wykorzystania tej podatności, możliwe jest wykonanie dowolnego kodu z uprawnieniami SYSTEM.
Wtyczka Static Block dla WordPressa jest podatna na niebezpieczne bezpośrednie odniesienie do obiektów we wszystkich wersjach do 2.2 włącznie. Problem wynika z braku weryfikacji statusu postu oraz uprawnień użytkownika przy użyciu shortcode'a static_block_content().
W systemach Xtensa z włączonymi opcjami CONFIG_USERSPACE i CONFIG_XTENSA_MMU występuje problem z zarządzaniem listą aktywnych domen pamięci. Po zniszczeniu domeny, wskaźnik do niej pozostaje w globalnej liście, co prowadzi do dereferencji wskaźnika NULL lub użycia po zwolnieniu pamięci, co może skutkować uszkodzeniem pamięci tabeli stron.
Nokia SR Linux jest podatny na lokalną eskalację uprawnień z powodu niesanitowanej walidacji formatu. Udana eksploitacja tej podatności może pozwolić uwierzytelnionemu użytkownikowi na wykonywanie dowolnych poleceń z uprawnieniami superużytkownika.
Wtyczka do wideokonferencji Zoom dla WordPressa jest podatna na obejście autoryzacji we wszystkich wersjach do 4.6.7 włącznie. Problem wynika z niewłaściwej weryfikacji uprawnień użytkownika, co pozwala nieautoryzowanym atakującym na uzyskanie klucza API Zoom SDK oraz świeżo podpisanego JWT.
W bibliotece GnuTLS odkryto podatność use-after-free w funkcji `gnutls_pkcs11_token_set_pin`, używanej do zmiany PIN-u Security Officer. Problem występuje, gdy atakujący próbuje zmienić PIN, podając stary PIN jako NULL dla tokena, który nie ma chronionej ścieżki uwierzytelniania.
Wykryto lukę w komponencie MP3 Extractor `tracker-extract-mp3` w GNOME localsearch, która pozwala na przepełnienie bufora. Zdalny atakujący może wykorzystać tę podatność, dostarczając specjalnie przygotowany plik MP3 z nieprawidłowymi tagami ID3.
Wykryto lukę w GNOME localsearch (wcześniej znanym jako tracker-miners) w komponencie MP3 Extractor, która polega na przepełnieniu bufora w stercie. Problem występuje podczas przetwarzania specjalnie przygotowanych plików MP3 zawierających nieprawidłowe tagi ID3v2.3 COMM.
W komponentach `tracker-extract-mp3` GNOME localsearch występuje błąd, który prowadzi do przepełnienia bufora na stercie podczas przetwarzania specjalnie przygotowanych plików MP3. Atakujący może wykorzystać tę podatność, dostarczając złośliwy plik MP3, co skutkuje awarią aplikacji.
W GNOME localsearch (wcześniej znanym jako tracker-miners) MP3 Extractor znaleziono lukę. Podczas przetwarzania specjalnie przygotowanych plików MP3 z tagami ID3v2.4, brak kontroli granic w funkcji `extract_performers_tags` może prowadzić do przepełnienia bufora na stercie.
Nieprawidłowa walidacja hosta w funkcji automatycznego uzupełniania logowania społecznościowego w Devolutions Remote Desktop Manager 2026.2.8 umożliwia atakującemu ujawnienie zapisanych danych logowania społecznościowego poprzez spreparowany punkt wejścia wskazujący na domenę przypominającą dostawcę.
W narzędziu Canon EOS Network Setting Tool w wersji 1.5.0 lub wcześniejszej, domyślna konfiguracja FTP wykorzystuje nieszyfrowany protokół. Może to prowadzić do nieautoryzowanego dostępu do danych przesyłanych przez FTP.
W narzędziu Canon EOS Network Setting Tool w wersji 1.5.0 i wcześniejszych używane są słabe algorytmy kryptograficzne SSH, co może prowadzić do potencjalnych zagrożeń bezpieczeństwa.

