Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-41264
Krytyczne

Flowise to interfejs typu drag & drop do budowania dostosowanych przepływów dużych modeli językowych. Przed wersją 3.1.0 występował błąd w metodzie run klasy CSV_Agents, polegający na braku odpowiedniego piaskownicy przy ocenie skryptu Pythona generowanego przez LLM.

CVE-2026-25874
Krytyczne

LeRobot w wersji do 0.5.1 zawiera podatność na niebezpieczną deserializację w asynchronicznym potoku wnioskowania, gdzie używana jest funkcja pickle.loads() do deserializacji danych otrzymywanych przez nieautoryzowane kanały gRPC bez TLS. Atakujący zdalny, nieautoryzowany może uzyskać możliwość wykonania dowolnego kodu na serwerze lub kliencie, wysyłając spreparowany ładunek pickle przez wywołania gRPC.

CVE-2026-6074
Krytyczne

Intrado 911 Emergency Gateway (EGW) w wersjach 5.x, 6.x i 7.x zawiera podatność na traversję ścieżki w punkcie końcowym download_debuglog_file.php, używanym do pobierania logów debugowania. Nieautoryzowany atakujący może manipulować parametrem nazwy, aby odczytać dowolne pliki poza zamierzonym katalogiem.

CVE-2026-41247
Krytyczne

elFinder to otwartoźródłowy menedżer plików dla sieci, napisany w JavaScript z użyciem jQuery UI. W wersjach przed 2.1.67 występuje podatność na wstrzykiwanie poleceń w komendzie resize, gdzie parametr bg (kolor tła) jest akceptowany z wejścia użytkownika i przekazywany do przetwarzania obrazu bez odpowiedniego zabezpieczenia.

CVE-2026-6920
Krytyczne

W Google Chrome na Androidzie przed wersją 147.0.7727.117 wystąpił błąd odczytu poza zakresem w GPU, który mógł zostać wykorzystany przez zdalnego atakującego do przeprowadzenia ucieczki z piaskownicy za pomocą spreparowanej strony HTML.

CVE-2026-6919
Krytyczne

W DevTools w Google Chrome przed wersją 147.0.7727.117 wystąpiła podatność typu use after free, która mogła pozwolić zdalnemu atakującemu, który przejął proces renderera, na potencjalne wykonanie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.

CVE-2026-31181
Krytyczne

W oprogramowaniu układowym ToToLink A3300R w wersji v17.0.0cu.557_B20221024 odkryto problem, który pozwala atakującym na wykonywanie dowolnych poleceń za pomocą parametru stunServerAddr w /cgi-bin/cstecgi.cgi.

CVE-2026-31178
Krytyczne

W oprogramowaniu układowym ToToLink A3300R w wersji v17.0.0cu.557_B20221024 odkryto problem, który pozwala atakującym na wykonywanie dowolnych poleceń za pomocą parametru stunMaxAlive w pliku /cgi-bin/cstecgi.cgi.

CVE-2026-31177
Krytyczne

W oprogramowaniu układowym ToToLink A3300R w wersji v17.0.0cu.557_B20221024 odkryto problem, który pozwala atakującym na wykonywanie dowolnych poleceń za pomocą parametru stunMinAlive w pliku /cgi-bin/cstecgi.cgi.

CVE-2026-31175
Krytyczne

W oprogramowaniu układowym ToToLink A3300R w wersji v17.0.0cu.557_B20221024 odkryto problem, który pozwala atakującym na wykonywanie dowolnych poleceń za pomocą parametru stunEnable w /cgi-bin/cstecgi.cgi.

CVE-2026-40472
Krytyczne

W hackage-server, metadane kontrolowane przez użytkownika z plików .cabal są renderowane w atrybutach href HTML bez odpowiedniej sanitizacji, co umożliwia ataki typu Cross-Site Scripting (XSS) typu stored.

CVE-2026-40471
Krytyczne

Serwer hackage nie posiadał ochrony przed atakami Cross-Site Request Forgery (CSRF) na swoich punktach końcowych. Skrypty na obcych stronach mogły wywoływać żądania do serwera hackage, co mogło prowadzić do nadużycia ukrytych poświadczeń w celu przesyłania pakietów lub wykonywania innych działań administracyjnych.

CVE-2026-40470
Krytyczne

Krytyczna podatność XSS dotyczyła hackage-server oraz hackage.haskell.org. Pliki HTML i JavaScript dostarczane w pakietach źródłowych lub za pośrednictwem funkcji przesyłania dokumentacji były serwowane bezpośrednio na głównym domenie hackage.haskell.org.

CVE-2026-23751
Krytyczne

Kofax Capture (Tungsten Capture) w wersji 6.0.0.0 (inne wersje mogą być podatne) udostępnia przestarzały kanał .NET Remoting HTTP na porcie 2424, który jest dostępny bez uwierzytelnienia. Atakujący może wykorzystać techniki unmarshalling obiektów .NET Remoting do instancjonowania obiektu System.Net.WebClient i uzyskania dostępu do plików na serwerze.

CVE-2025-62373
Krytyczne

Pipecat to otwartoźródłowy framework Pythona do budowania agentów konwersacyjnych w czasie rzeczywistym. W wersjach od 0.0.41 do 0.0.93 występuje podatność w klasie `LivekitFrameSerializer`, która umożliwia zdalne wykonanie kodu przez nieautoryzowane dane WebSocket.

CVE-2025-50229
Krytyczne

Jizhicms w wersji 2.5.4 jest podatny na atak typu SQL injection w module edycji produktów. Atakujący może wykorzystać tę podatność do nieautoryzowanego dostępu do bazy danych.

CVE-2026-41460
Krytyczne

Wersje SocialEngine 7.8.0 i wcześniejsze zawierają podatność na wstrzykiwanie SQL w punkcie końcowym /activity/index/get-memberall, gdzie dane wejściowe dostarczone przez użytkownika przez parametr text nie są odpowiednio filtrowane przed użyciem w zapytaniu SQL. Atakujący zdalny, nieautoryzowany może wykorzystać tę podatność do odczytu dowolnych danych z bazy danych oraz resetowania haseł kont administratorów.

CVE-2026-39440
Krytyczne

Podatność typu 'Code Injection' w FunnelFormsPro firmy Funnelforms LLC pozwala na zdalne wstrzykiwanie kodu. Problem dotyczy wersji FunnelFormsPro od n/a do 3.8.1.

CVE-2026-6887
Krytyczne

Borg SPM 2007, rozwijany przez BorG Technology Corporation, posiada podatność na wstrzykiwanie SQL, która umożliwia nieautoryzowanym atakującym zdalne wstrzykiwanie dowolnych poleceń SQL w celu odczytu, modyfikacji i usunięcia zawartości bazy danych.

CVE-2026-6886
Krytyczne

Borg SPM 2007, rozwijany przez BorG Technology Corporation, posiada podatność na obejście uwierzytelniania, co pozwala nieautoryzowanym atakującym zdalnym na zalogowanie się do systemu jako dowolny użytkownik.

PoprzedniaStrona 100 z 561Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS