Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-52714
Średnie

Wtyczka SEO od Squirrly SEO w wersjach do 12.4.16 zawiera lukę w kontroli dostępu, która pozwala na nieautoryzowany dostęp.

CVE-2026-40809
Średnie

W Metro Magazine od Rara Themes występuje luka związana z brakiem autoryzacji, która pozwala na wykorzystanie niepoprawnie skonfigurowanych poziomów kontroli dostępu.

CVE-2026-2381
Średnie

Wtyczka WooCommerce Stripe Payment Gateway dla WordPress jest podatna na nieautoryzowaną modyfikację danych z powodu braku sprawdzenia uprawnień w funkcji `ajax_pay_for_order()`. Problem dotyczy wszystkich wersji do i włącznie z 10.7.0, gdzie brak jest weryfikacji własności zamówienia lub klucza zamówienia podczas przetwarzania płatności.

CVE-2026-10093
Średnie

Wtyczka File Sharing & Download Manager – User Private Files dla WordPress jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez parametr 'fldr_ttl' we wszystkich wersjach do 2.1.6 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia. Umożliwia to uwierzytelnionym atakującym, posiadającym dostęp na poziomie subskrybenta lub wyższym, wstrzykiwanie dowolnych skryptów webowych na stronach, które będą wykonywane, gdy użytkownik uzyska dostęp do zainfekowanej strony.

CVE-2025-9912
Średnie

Nokia SR Linux jest podatny na lokalną podatność eskalacji uprawnień. Skuteczne wykorzystanie tej podatności może pozwolić uwierzytelnionemu użytkownikowi na wykonywanie dowolnych poleceń z uprawnieniami superużytkownika.

CVE-2026-9187
Średnie

Wtyczka Abandoned Contact Form 7 dla WordPressa jest podatna na nieautoryzowane usuwanie dowolnych postów w wersjach do 2.2 włącznie. Problem wynika z braku weryfikacji uprawnień oraz walidacji nonce w funkcji action__remove_abandoned().

CVE-2026-5149
Średnie

Wtyczka RTMKit dla WordPressa jest podatna na błędną autoryzację we wszystkich wersjach do 2.0.7 włącznie. Problem wynika z braku sprawdzenia uprawnień w punkcie końcowym AJAX get_submission_content, co pozwala na dostęp do danych zgłoszeń formularzy przez nieuprawnionych użytkowników.

CVE-2026-50255
Średnie

W oprogramowaniu Optical Disc Archive dla systemu Windows w wersji 5.5.3 i wcześniejszych występuje problem z nieprawidłowymi domyślnymi uprawnieniami. W przypadku wykorzystania tej podatności, możliwe jest wykonanie dowolnego kodu z uprawnieniami SYSTEM.

CVE-2026-10780
Średnie

Wtyczka Static Block dla WordPressa jest podatna na niebezpieczne bezpośrednie odniesienie do obiektów we wszystkich wersjach do 2.2 włącznie. Problem wynika z braku weryfikacji statusu postu oraz uprawnień użytkownika przy użyciu shortcode'a static_block_content().

CVE-2026-10635
Średnie

W systemach Xtensa z włączonymi opcjami CONFIG_USERSPACE i CONFIG_XTENSA_MMU występuje problem z zarządzaniem listą aktywnych domen pamięci. Po zniszczeniu domeny, wskaźnik do niej pozostaje w globalnej liście, co prowadzi do dereferencji wskaźnika NULL lub użycia po zwolnieniu pamięci, co może skutkować uszkodzeniem pamięci tabeli stron.

CVE-2025-10262
Średnie

Nokia SR Linux jest podatny na lokalną eskalację uprawnień z powodu niesanitowanej walidacji formatu. Udana eksploitacja tej podatności może pozwolić uwierzytelnionemu użytkownikowi na wykonywanie dowolnych poleceń z uprawnieniami superużytkownika.

CVE-2026-6964
Średnie

Wtyczka do wideokonferencji Zoom dla WordPressa jest podatna na obejście autoryzacji we wszystkich wersjach do 4.6.7 włącznie. Problem wynika z niewłaściwej weryfikacji uprawnień użytkownika, co pozwala nieautoryzowanym atakującym na uzyskanie klucza API Zoom SDK oraz świeżo podpisanego JWT.

CVE-2026-42014
Średnie

W bibliotece GnuTLS odkryto podatność use-after-free w funkcji `gnutls_pkcs11_token_set_pin`, używanej do zmiany PIN-u Security Officer. Problem występuje, gdy atakujący próbuje zmienić PIN, podając stary PIN jako NULL dla tokena, który nie ma chronionej ścieżki uwierzytelniania.

CVE-2026-1767
Średnie

Wykryto lukę w komponencie MP3 Extractor `tracker-extract-mp3` w GNOME localsearch, która pozwala na przepełnienie bufora. Zdalny atakujący może wykorzystać tę podatność, dostarczając specjalnie przygotowany plik MP3 z nieprawidłowymi tagami ID3.

CVE-2026-1766
Średnie

Wykryto lukę w GNOME localsearch (wcześniej znanym jako tracker-miners) w komponencie MP3 Extractor, która polega na przepełnieniu bufora w stercie. Problem występuje podczas przetwarzania specjalnie przygotowanych plików MP3 zawierających nieprawidłowe tagi ID3v2.3 COMM.

CVE-2026-1765
Średnie

W komponentach `tracker-extract-mp3` GNOME localsearch występuje błąd, który prowadzi do przepełnienia bufora na stercie podczas przetwarzania specjalnie przygotowanych plików MP3. Atakujący może wykorzystać tę podatność, dostarczając złośliwy plik MP3, co skutkuje awarią aplikacji.

CVE-2026-1764
Średnie

W GNOME localsearch (wcześniej znanym jako tracker-miners) MP3 Extractor znaleziono lukę. Podczas przetwarzania specjalnie przygotowanych plików MP3 z tagami ID3v2.4, brak kontroli granic w funkcji `extract_performers_tags` może prowadzić do przepełnienia bufora na stercie.

CVE-2026-12162
Średnie

Nieprawidłowa walidacja hosta w funkcji automatycznego uzupełniania logowania społecznościowego w Devolutions Remote Desktop Manager 2026.2.8 umożliwia atakującemu ujawnienie zapisanych danych logowania społecznościowego poprzez spreparowany punkt wejścia wskazujący na domenę przypominającą dostawcę.

CVE-2026-9262
Średnie

W narzędziu Canon EOS Network Setting Tool w wersji 1.5.0 lub wcześniejszej, domyślna konfiguracja FTP wykorzystuje nieszyfrowany protokół. Może to prowadzić do nieautoryzowanego dostępu do danych przesyłanych przez FTP.

CVE-2026-9261
Średnie

W narzędziu Canon EOS Network Setting Tool w wersji 1.5.0 i wcześniejszych używane są słabe algorytmy kryptograficzne SSH, co może prowadzić do potencjalnych zagrożeń bezpieczeństwa.

PoprzedniaStrona 99 z 514Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS