CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.10)

CVE-2026-20079
Critical

Podatność w interfejsie webowym oprogramowania Cisco Secure Firewall Management Center (FMC) może pozwolić nieautoryzowanemu, zdalnemu atakującemu na ominięcie uwierzytelnienia i wykonanie plików skryptowych na podatnym urządzeniu, co umożliwia uzyskanie dostępu root do systemu operacyjnego.

CVE-2025-70220
Critical

W podatności CVE-2025-70220 występuje przepełnienie bufora stosu w urządzeniu D-Link DIR-513 w wersji 1.10, które jest wywoływane przez parametr curTime w funkcji goform/formAutoDetecWAN_wizard4.

CVE-2025-70218
Critical

W podatności CVE-2025-70218 występuje przepełnienie bufora stosu w urządzeniu D-Link DIR-513 w wersji 1.10, które można wykorzystać poprzez wysłanie żądania POST do komponentu goform/formAdvFirewall.

CVE-2026-28783
Critical

Craft to system zarządzania treścią (CMS), który przed wersjami 5.9.0-beta.1 i 4.17.0-beta.1 implementował listę blokującą, aby zapobiec wywoływaniu potencjalnie niebezpiecznych funkcji PHP przez funkcje strzałkowe Twig. Wiele funkcji PHP nie zostało uwzględnionych na liście blokującej, co może umożliwić atakującym wykonanie różnych typów ładunków, w tym RCE, odczytów plików, SSRF i SSTI.

CVE-2026-28697
Critical

Craft to system zarządzania treścią (CMS). Przed wersjami 4.17.0-beta.1 i 5.9.0-beta.1, uwierzytelniony administrator mógł osiągnąć zdalne wykonanie kodu (RCE) poprzez wstrzyknięcie ładunku SSTI do pól szablonów Twig, co pozwalało na zapisanie złośliwego skryptu PHP w katalogu dostępnym przez sieć.

CVE-2025-69969
Critical

Brak mechanizmów uwierzytelniania i autoryzacji w protokole komunikacyjnym Bluetooth Low Energy (BLE) w urządzeniu SRK Powertech Pvt Ltd Pebble Prism Ultra v2.9.2 umożliwia atakującym inżynierię wsteczną protokołu oraz wykonywanie dowolnych poleceń na urządzeniu bez nawiązywania połączenia. Wykorzystanie tej podatności możliwe jest w zasięgu Bluetooth Low Energy (BLE) bez potrzeby fizycznego kontaktu z urządzeniem.

CVE-2025-66944
Critical

Podatność typu SQL Injection w wersji 1.0.7 i wcześniejszych w bazie danych vran-dev umożliwia zdalnemu atakującemu wykonanie dowolnego kodu poprzez parametr zapytania w punkcie końcowym API wyszukiwania.

CVE-2025-66678
Critical

Problem w komponencie HwRwDrv.sys narzędzia Nil Hardware Editor Hardware Read & Write Utility w wersji 1.25.11.26 i wcześniejszych umożliwia atakującym wykonywanie dowolnych operacji odczytu i zapisu za pomocą spreparowanego żądania.

CVE-2026-26478
Critical

W urządzeniach Mobvoi Tichome Mini (modele 012-18853 i 027-58389) występuje podatność na wstrzykiwanie poleceń powłoki, która umożliwia zdalnym atakującym wysyłanie specjalnie przygotowanych datagramów UDP i wykonywanie dowolnego kodu powłoki jako konto root.

CVE-2025-59786
Critical

Wersja 3.4.2 i wcześniejsze 2N Access Commander niewłaściwie unieważniają tokeny sesji, co pozwala na utrzymanie aktywnych wielu ciasteczek sesyjnych po wylogowaniu z aplikacji webowej.

CVE-2026-27446
CriticalEPSS 95%

Missing Authentication for Critical Function (CWE-306) in Apache Artemis and Apache ActiveMQ Artemis. An unauthenticated remote attacker can use the Core protocol to force a target broker to establish an outbound Core federation connection to an attacker-controlled rogue broker. This could potentially result in message injection into any queue and/or message exfiltration from any queue via the rogue broker.

CVE-2026-27441
Critical

SEPPmail Secure Email Gateway przed wersją 15.0.1 niewystarczająco neutralizuje hasło szyfrowania PDF, co umożliwia wykonanie poleceń systemowych.

CVE-2026-29119
Critical

Odbiornik satelitarny SFX Series SuperFlex (SFX2100) firmy International Datacasting Corporation (IDC) zawiera twardo zakodowane i niebezpieczne dane logowania dla konta `admin`. Zdalny, nieautoryzowany atakujący może wykorzystać te nieudokumentowane dane logowania do bezpośredniego dostępu do systemu satelitarnego za pośrednictwem usługi Telnet.

CVE-2026-28778
Critical

Odbiornik satelitarny SFX Series SuperFlex firmy International Datacasting Corporation (IDC) zawiera nieudokumentowane, twardo zakodowane/niebezpieczne dane logowania dla konta użytkownika `xd`. Zdalny, nieautoryzowany atakujący może zalogować się przez FTP, wykorzystując te dane.

CVE-2026-28777
Critical

Odbiornik satelitarny SFX2100 firmy International Datacasting Corporation (IDC) posiada trywialne hasło dla konta `user` (usr). Zdalny, nieautoryzowany atakujący może wykorzystać tę podatność do uzyskania nieautoryzowanego dostępu SSH do systemu.

CVE-2026-28776
Critical

Odbiornik satelitarny SuperFlex serii SFX firmy International Datacasting Corporation (IDC) zawiera twardo zakodowane dane logowania dla konta `monitor`. Zdalny, nieautoryzowany atakujący może wykorzystać te proste, nieudokumentowane dane logowania do uzyskania dostępu do systemu przez SSH.

CVE-2026-28775
Critical

W usłudze SNMP w odbiorniku satelitarnym SFX Series SuperFlex firmy International Datacasting Corporation (IDC) występuje podatność na zdalne wykonanie kodu (RCE) bez uwierzytelnienia. Domyślnie, usługa ta niebezpiecznie udostępnia `private` ciąg społeczności SNMP z dostępem do odczytu i zapisu, co pozwala atakującemu na wykonanie dowolnych poleceń systemowych z uprawnieniami roota.

CVE-2026-3266
Critical

W podatności CVE-2026-3266 w OpenText™ Filr występuje brak autoryzacji, co umożliwia obejście uwierzytelnienia. Umożliwia to nieautoryzowanym użytkownikom uzyskanie tokena XSRF i wykonywanie zdalnych wywołań procedur (RPC) za pomocą starannie przygotowanych programów.

CVE-2026-28289
Critical

FreeScout to darmowy system pomocy technicznej i wspólna skrzynka odbiorcza zbudowana na frameworku Laravel. W wersjach FreeScout 1.8.206 i wcześniejszych występuje luka umożliwiająca zdalne wykonanie kodu (RCE) poprzez przesłanie złośliwego pliku .htaccess z prefiksem znaku zerowej szerokości, co omija zabezpieczenia.

CVE-2026-27971
Critical

Qwik to framework JavaScript skoncentrowany na wydajności. Wersje qwik do 1.19.0 są podatne na zdalne wykonanie kodu (RCE) z powodu niebezpiecznej deserializacji w mechanizmie server$ RPC, co pozwala nieautoryzowanym użytkownikom na wykonanie dowolnego kodu na serwerze za pomocą jednego żądania HTTP.

PreviousPage 155 of 562Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS