Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
Zidentyfikowano podatność typu Stored Cross-Site Scripting (XSS) w funkcji społecznościowej projektu parisneo/lollms, dotyczącej wersji przed 2.2.0. Problem występuje w funkcji `create_post`, gdzie treści dostarczane przez użytkowników są przypisywane do modelu `DBPost` bez odpowiedniego oczyszczania.
Zidentyfikowano podatność w urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024, która dotyczy funkcji setSyslogCfg w pliku /cgi-bin/cstecgi.cgi komponentu CGI Handler. Manipulacja argumentem enable prowadzi do zdalnego wstrzyknięcia poleceń systemowych.
Wykryto podatność w urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024. Problem dotyczy funkcji setLoginPasswordCfg w pliku /cgi-bin/cstecgi.cgi, gdzie manipulacja argumentem admpass prowadzi do zdalnego wstrzyknięcia poleceń systemowych.
W urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024 wykryto podatność bezpieczeństwa. Problem dotyczy funkcji setAdvancedInfoShow w pliku /cgi-bin/cstecgi.cgi, gdzie manipulacja argumentem tty_server prowadzi do wstrzyknięcia poleceń systemowych.
Zidentyfikowano słabość w urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024. Problem dotyczy funkcji setMiniuiHomeInfoShow w pliku /cgi-bin/cstecgi.cgi, gdzie manipulacja argumentem lan_info może prowadzić do wstrzyknięcia poleceń systemowych.
W urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024 odkryto lukę bezpieczeństwa. Problem dotyczy funkcji setTelnetCfg w pliku /cgi-bin/cstecgi.cgi, gdzie manipulacja argumentem telnet_enabled prowadzi do zdalnego wstrzyknięcia poleceń systemowych.
Zidentyfikowano podatność w urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024, która dotyczy funkcji setWiFiGuestCfg w pliku /cgi-bin/cstecgi.cgi komponentu CGI Handler. Manipulacja argumentem wifiOff prowadzi do wstrzyknięcia poleceń systemowych.
Podatność CVE-2026-5393 dotyczy odczytu poza zakresem podczas przetwarzania wiadomości CertificateVerify z użyciem podwójnego algorytmu. Problem ten występuje tylko w przypadku, gdy podczas kompilacji wolfSSL użyto opcji --enable-experimental oraz --enable-dual-alg-certs.
W funkcji TLSX_EchChangeSNI, gałąź ctx->extensions ustawiała rozszerzenia bezwarunkowo, nawet gdy TLSX_Find zwracał NULL. To spowodowało, że TLSX_UseSNI dołączał publicName kontrolowany przez atakującego do współdzielonego WOLFSSL_CTX, gdy nie skonfigurowano wewnętrznego SNI.
Smart Slider 3 Pro w wersji 3.5.1.35 dla WordPressa i Joomli zawiera wieloetapowy zestaw narzędzi do zdalnego dostępu, wstrzyknięty przez skompromitowany system aktualizacji, co pozwala nieautoryzowanym atakującym na wykonywanie dowolnego kodu i poleceń. Atakujący mogą uruchamiać zdalne powłoki przed uwierzytelnieniem za pomocą nagłówków HTTP oraz tworzyć ukryte konta administratorów.
Występuje przepełnienie bufora w stercie podczas przetwarzania wiadomości ACK w DTLS 1.3. Zdalny atakujący może wysłać spreparowaną wiadomość ACK DTLS 1.3, co prowadzi do przepełnienia bufora.
PraisonAI to system zespołów wieloagentowych. W wersjach przed 4.5.128, PraisonAI traktuje zdalnie pobrane pliki szablonów jako zaufany kod wykonywalny bez weryfikacji integralności, walidacji pochodzenia ani potwierdzenia użytkownika, co umożliwia ataki na łańcuch dostaw za pomocą złośliwych szablonów.
Podatność w Juniper Networks Support Insights (JSI) Virtual Lightweight Collector (vLWC) polega na użyciu domyślnego hasła dla konta o wysokich uprawnieniach. Nie jest wymuszana zmiana tego hasła podczas konfiguracji, co umożliwia nieuwierzytelnionemu atakującemu zdalne przejęcie pełnej kontroli nad urządzeniem. Problem dotyczy wszystkich wersji vLWC przed 3.0.94.
Wykryto podatność w urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024. Problem dotyczy funkcji setWiFiAclRules w pliku /cgi-bin/cstecgi.cgi, gdzie manipulacja argumentem mode prowadzi do wstrzyknięcia poleceń systemowych.
Zidentyfikowano słabość w urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024, która dotyczy funkcji setWiFiBasicCfg w pliku /cgi-bin/cstecgi.cgi. Manipulacja argumentem wifiOff może prowadzić do wstrzyknięcia poleceń systemowych.
W urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024 odkryto lukę bezpieczeństwa w funkcji setStorageCfg pliku /cgi-bin/cstecgi.cgi, która dotyczy komponentu CGI Handler. Manipulacja argumentem sambaEnabled prowadzi do zdalnego wstrzyknięcia poleceń systemowych.
Zidentyfikowano podatność w urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024. Problem dotyczy funkcji setDmzCfg w pliku /cgi-bin/cstecgi.cgi, gdzie manipulacja argumentem wanIdx prowadzi do wstrzyknięcia poleceń systemowych.
Brak weryfikacji rozmiaru hasha/digestu oraz OID pozwala na akceptację digestów mniejszych niż dozwolone podczas weryfikacji certyfikatów ECDSA. Może to prowadzić do obniżenia bezpieczeństwa uwierzytelniania opartego na certyfikatach ECDSA, jeśli znany jest publiczny klucz CA.
W funkcji DecodeObjectId() w pliku wolfcrypt/src/asn.c występują dwa potencjalne miejsca, w których może dojść do zapisu poza granicami bufora. Pierwsze z nich polega na tym, że sprawdzenie granic waliduje tylko jeden dostępny slot przed zapisaniem dwóch wartości OID, co umożliwia zapis 2 bajtów poza granicami, gdy outSz wynosi 1. Drugie dotyczy sytuacji, w której wielu wywołujących przekazuje rozmiar decOid (64 bajty na platformach 64-bitowych) zamiast liczby elementów MAX_OID_SZ (32), co pozwala na akceptację stworzonych OID z 33 lub więcej łukami, co prowadzi do zapisu poza końcem przydzielonego bufora.
Sonicverse, samodzielnie hostowany stos Docker Compose do transmisji radiowej na żywo, zawiera podatność typu Server-Side Request Forgery (SSRF) w swoim kliencie API. W instalacjach utworzonych za pomocą skryptu install.sh, dashboard akceptuje kontrolowane przez użytkownika adresy URL i przekazuje je bez wystarczającej walidacji do klienta HTTP po stronie serwera.

