Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-22562
Krytyczne

W urządzeniach UniFi Play zidentyfikowano podatność typu Path Traversal, która pozwala złośliwemu użytkownikowi na zapis plików w systemie. Wykorzystanie tej luki może prowadzić do zdalnego wykonania kodu (RCE).

CVE-2026-31048
Krytyczne

Problem w protokole <code>pickle</code> w Pyro v3.x umożliwia atakującym wykonanie dowolnego kodu poprzez dostarczenie spreparowanej wiadomości w postaci zserializowanego ciągu znaków.

CVE-2026-40044
Krytyczne

Pachno 1.0.6 zawiera podatność na deserializację, która pozwala nieautoryzowanym atakującym na wykonanie dowolnego kodu poprzez wstrzykiwanie złośliwych obiektów serializowanych do plików cache. Atakujący mogą zapisywać ładunki obiektów PHP do plików cache o przewidywalnych nazwach, które są deserializowane podczas uruchamiania frameworka przed sprawdzeniem autoryzacji.

CVE-2026-40042
Krytyczne

Pachno w wersji 1.0.6 zawiera podatność na wstrzykiwanie zewnętrznych jednostek XML, która pozwala nieautoryzowanym atakującym na odczyt dowolnych plików poprzez wykorzystanie niebezpiecznego parsowania XML w pomocniku TextParser. Atakujący mogą wstrzykiwać złośliwe jednostki XML za pomocą składni tabel wiki oraz tagów inline w opisach problemów, komentarzach i artykułach wiki.

CVE-2026-6195
Krytyczne

W urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024 wykryto podatność, która dotyczy funkcji setPasswordCfg w pliku /cgi-bin/cstecgi.cgi. Manipulacja argumentem admpass prowadzi do zdalnego wstrzyknięcia poleceń systemowych.

CVE-2026-31283
Krytyczne

W Totara LMS w wersji 19.1.5 i wcześniejszych, API do resetowania hasła nie wprowadza limitu liczby prób dla docelowego adresu e-mail, co może być wykorzystane do ataku typu Email Bombing. Dodatkowo, konfiguracja pwresettime domyślnie wynosi 30 minut, a aktywacja flagi PWRESET_STATUS_ALREADYSENT zapobiega wysyłaniu kolejnych wiadomości o resetowaniu hasła dla danego adresu e-mail.

CVE-2026-31282
Krytyczne

Totara LMS w wersji 19.1.5 i wcześniejszych jest podatny na niewłaściwą kontrolę dostępu. Kod strony logowania może być manipulowany w celu ujawnienia formularza logowania, co umożliwia atakującemu przeprowadzenie ataku brute force z powodu braku limitu liczby prób logowania.

CVE-2026-0234
Krytyczne

Podatność w platformach Cortex XSOAR i Cortex XSIAM podczas integracji z Microsoft Teams wynika z nieprawidłowej weryfikacji podpisu kryptograficznego. Umożliwia ona nieuwierzytelnionemu użytkownikowi dostęp do chronionych zasobów i ich modyfikację.

CVE-2026-5085
Krytyczne

Wersje Solstice::Session do 1440 dla Perla generują identyfikatory sesji w sposób niebezpieczny. Metoda _generateSessionID zwraca skrót MD5, który jest podatny na przewidywanie, co może umożliwić atakującym uzyskanie dostępu do systemów.

CVE-2026-34865
Krytyczne

Podatność typu out-of-bounds write w module WEB może prowadzić do nieautoryzowanego zapisu danych. Skuteczne wykorzystanie tej podatności wpłynie na dostępność oraz poufność systemu.

CVE-2026-6156
Krytyczne

Wykryto podatność w urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024, która dotyczy funkcji setIpQosRules w pliku /cgi-bin/cstecgi.cgi. Manipulacja argumentem Comment prowadzi do zdalnego wstrzyknięcia poleceń systemowych.

CVE-2026-6155
Krytyczne

Zidentyfikowano słabość w urządzeniu Totolink A7100RU w wersji 7.4cu.2313. Problem dotyczy funkcji setWanCfg w pliku /cgi-bin/cstecgi.cgi, gdzie manipulacja argumentem pppoeServiceName może prowadzić do wstrzyknięcia poleceń systemowych.

CVE-2026-6154
Krytyczne

W urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024 odkryto lukę bezpieczeństwa w funkcji setWizardCfg w pliku /cgi-bin/cstecgi.cgi. Manipulacja argumentem wizard prowadzi do wstrzyknięcia poleceń systemowych, co może być zrealizowane zdalnie.

CVE-2026-6140
Krytyczne

Wykryto podatność w urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024, która dotyczy funkcji UploadFirmwareFile w pliku /cgi-bin/cstecgi.cgi. Manipulacja argumentem FileName prowadzi do zdalnego wstrzyknięcia poleceń systemowych.

CVE-2026-6139
Krytyczne

Wykryto podatność w urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024, która dotyczy funkcji UploadOpenVpnCert w pliku /cgi-bin/cstecgi.cgi. Manipulacja argumentem FileName prowadzi do wstrzyknięcia poleceń systemowych.

CVE-2026-6138
Krytyczne

W urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024 znaleziono lukę, która dotyczy funkcji setAccessDeviceCfg w pliku /cgi-bin/cstecgi.cgi. Manipulacja argumentem mac prowadzi do zdalnego wstrzyknięcia poleceń systemowych.

CVE-2026-6132
Krytyczne

W podatności CVE-2026-6132 zidentyfikowano problem w urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024. Dotyczy on funkcji setLedCfg w pliku /cgi-bin/cstecgi.cgi, gdzie manipulacja argumentem enable prowadzi do zdalnego wstrzyknięcia poleceń systemowych.

CVE-2026-6131
Krytyczne

Wykryto podatność w urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024. Problem dotyczy funkcji setTracerouteCfg w pliku /cgi-bin/cstecgi.cgi, gdzie manipulacja argumentem command prowadzi do zdalnego wstrzyknięcia poleceń systemowych.

CVE-2019-25709
Krytyczne

Skrypt hostingu obrazów CF w wersji 1.6.5 pozwala nieautoryzowanym atakującym na pobranie i dekodowanie bazy danych aplikacji poprzez dostęp do pliku imgdb.db w katalogu upload/data. Atakujący mogą wydobyć identyfikatory usuniętych obrazów przechowywane w postaci tekstu jawnego z deserializowanej bazy danych.

CVE-2026-6116
Krytyczne

Wykryto podatność w urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024, która dotyczy funkcji setDiagnosisCfg w pliku /cgi-bin/cstecgi.cgi. Manipulacja argumentem ip prowadzi do wstrzyknięcia poleceń systemowych.

PoprzedniaStrona 110 z 561Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS