Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
W urządzeniach UniFi Play zidentyfikowano podatność typu Path Traversal, która pozwala złośliwemu użytkownikowi na zapis plików w systemie. Wykorzystanie tej luki może prowadzić do zdalnego wykonania kodu (RCE).
Problem w protokole <code>pickle</code> w Pyro v3.x umożliwia atakującym wykonanie dowolnego kodu poprzez dostarczenie spreparowanej wiadomości w postaci zserializowanego ciągu znaków.
Pachno 1.0.6 zawiera podatność na deserializację, która pozwala nieautoryzowanym atakującym na wykonanie dowolnego kodu poprzez wstrzykiwanie złośliwych obiektów serializowanych do plików cache. Atakujący mogą zapisywać ładunki obiektów PHP do plików cache o przewidywalnych nazwach, które są deserializowane podczas uruchamiania frameworka przed sprawdzeniem autoryzacji.
Pachno w wersji 1.0.6 zawiera podatność na wstrzykiwanie zewnętrznych jednostek XML, która pozwala nieautoryzowanym atakującym na odczyt dowolnych plików poprzez wykorzystanie niebezpiecznego parsowania XML w pomocniku TextParser. Atakujący mogą wstrzykiwać złośliwe jednostki XML za pomocą składni tabel wiki oraz tagów inline w opisach problemów, komentarzach i artykułach wiki.
W urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024 wykryto podatność, która dotyczy funkcji setPasswordCfg w pliku /cgi-bin/cstecgi.cgi. Manipulacja argumentem admpass prowadzi do zdalnego wstrzyknięcia poleceń systemowych.
W Totara LMS w wersji 19.1.5 i wcześniejszych, API do resetowania hasła nie wprowadza limitu liczby prób dla docelowego adresu e-mail, co może być wykorzystane do ataku typu Email Bombing. Dodatkowo, konfiguracja pwresettime domyślnie wynosi 30 minut, a aktywacja flagi PWRESET_STATUS_ALREADYSENT zapobiega wysyłaniu kolejnych wiadomości o resetowaniu hasła dla danego adresu e-mail.
Totara LMS w wersji 19.1.5 i wcześniejszych jest podatny na niewłaściwą kontrolę dostępu. Kod strony logowania może być manipulowany w celu ujawnienia formularza logowania, co umożliwia atakującemu przeprowadzenie ataku brute force z powodu braku limitu liczby prób logowania.
Podatność w platformach Cortex XSOAR i Cortex XSIAM podczas integracji z Microsoft Teams wynika z nieprawidłowej weryfikacji podpisu kryptograficznego. Umożliwia ona nieuwierzytelnionemu użytkownikowi dostęp do chronionych zasobów i ich modyfikację.
Wersje Solstice::Session do 1440 dla Perla generują identyfikatory sesji w sposób niebezpieczny. Metoda _generateSessionID zwraca skrót MD5, który jest podatny na przewidywanie, co może umożliwić atakującym uzyskanie dostępu do systemów.
Podatność typu out-of-bounds write w module WEB może prowadzić do nieautoryzowanego zapisu danych. Skuteczne wykorzystanie tej podatności wpłynie na dostępność oraz poufność systemu.
Wykryto podatność w urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024, która dotyczy funkcji setIpQosRules w pliku /cgi-bin/cstecgi.cgi. Manipulacja argumentem Comment prowadzi do zdalnego wstrzyknięcia poleceń systemowych.
Zidentyfikowano słabość w urządzeniu Totolink A7100RU w wersji 7.4cu.2313. Problem dotyczy funkcji setWanCfg w pliku /cgi-bin/cstecgi.cgi, gdzie manipulacja argumentem pppoeServiceName może prowadzić do wstrzyknięcia poleceń systemowych.
W urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024 odkryto lukę bezpieczeństwa w funkcji setWizardCfg w pliku /cgi-bin/cstecgi.cgi. Manipulacja argumentem wizard prowadzi do wstrzyknięcia poleceń systemowych, co może być zrealizowane zdalnie.
Wykryto podatność w urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024, która dotyczy funkcji UploadFirmwareFile w pliku /cgi-bin/cstecgi.cgi. Manipulacja argumentem FileName prowadzi do zdalnego wstrzyknięcia poleceń systemowych.
Wykryto podatność w urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024, która dotyczy funkcji UploadOpenVpnCert w pliku /cgi-bin/cstecgi.cgi. Manipulacja argumentem FileName prowadzi do wstrzyknięcia poleceń systemowych.
W urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024 znaleziono lukę, która dotyczy funkcji setAccessDeviceCfg w pliku /cgi-bin/cstecgi.cgi. Manipulacja argumentem mac prowadzi do zdalnego wstrzyknięcia poleceń systemowych.
W podatności CVE-2026-6132 zidentyfikowano problem w urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024. Dotyczy on funkcji setLedCfg w pliku /cgi-bin/cstecgi.cgi, gdzie manipulacja argumentem enable prowadzi do zdalnego wstrzyknięcia poleceń systemowych.
Wykryto podatność w urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024. Problem dotyczy funkcji setTracerouteCfg w pliku /cgi-bin/cstecgi.cgi, gdzie manipulacja argumentem command prowadzi do zdalnego wstrzyknięcia poleceń systemowych.
Skrypt hostingu obrazów CF w wersji 1.6.5 pozwala nieautoryzowanym atakującym na pobranie i dekodowanie bazy danych aplikacji poprzez dostęp do pliku imgdb.db w katalogu upload/data. Atakujący mogą wydobyć identyfikatory usuniętych obrazów przechowywane w postaci tekstu jawnego z deserializowanej bazy danych.
Wykryto podatność w urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024, która dotyczy funkcji setDiagnosisCfg w pliku /cgi-bin/cstecgi.cgi. Manipulacja argumentem ip prowadzi do wstrzyknięcia poleceń systemowych.

