Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2017-20225
Krytyczne

TiEmu w wersji 2.08 i wcześniejszych zawiera podatność typu przepełnienie bufora na stosie, która pozwala atakującym na wykonanie dowolnego kodu poprzez wykorzystanie niewystarczających kontroli granic na danych wejściowych dostarczonych przez użytkownika. Atakujący mogą wywołać przepełnienie za pomocą argumentów wiersza poleceń przekazywanych do aplikacji.

CVE-2016-20049
Krytyczne

JAD w wersji 1.5.8e-1kali1 i wcześniejszych zawiera podatność typu przepełnienie bufora na stosie, która pozwala atakującym na wykonanie dowolnego kodu poprzez dostarczenie zbyt dużego wejścia przekraczającego granice bufora. Atakujący mogą stworzyć złośliwe ciągi wejściowe przekraczające 8150 bajtów, aby przepełnić stos, nadpisać adresy powrotu i wykonać shellcode w kontekście aplikacji.

CVE-2025-9497
Krytyczne

Podatność związana z użyciem twardo zakodowanych poświadczeń w Microchip Time Provider 4100 umożliwia złośliwą ręczną aktualizację oprogramowania. Problem dotyczy wersji Time Provider 4100 przed 2.5.0.

CVE-2026-33994
Krytyczne

W wersjach od 2.0.39 do przed 3.0.25 pakietu npm locutus występuje podatność na zanieczyszczenie prototypu w funkcji `parse_str`. Atakujący może zanieczyścić `Object.prototype`, nadpisując `RegExp.prototype.test` i przekazując spreparowany ciąg zapytania do `parse_str`, omijając zabezpieczenie przed zanieczyszczeniem prototypu.

CVE-2026-33993
Krytyczne

W wersjach przed 3.0.25 funkcja `unserialize()` w `locutus/php/var/unserialize` przypisuje deserializowane klucze do obiektów bez filtrowania klucza `__proto__`. To umożliwia atakującym wstrzykiwanie właściwości oraz nadpisywanie metod, co prowadzi do potencjalnych problemów z bezpieczeństwem.

CVE-2026-33976
Krytyczne

Notesnook to aplikacja do robienia notatek. W wersjach przed 3.3.11 na platformach Web/Desktop oraz 3.3.17 na Android/iOS występuje podatność na przechowywane XSS w procesie renderowania Web Clipper, co może prowadzić do zdalnego wykonania kodu w aplikacji desktopowej.

CVE-2026-33937
KrytyczneEPSS 75%

Podatność w bibliotece Handlebars (wersje 4.0.0 do 4.7.8) pozwala na zdalne wykonanie kodu (RCE) poprzez dostarczenie spreparowanego obiektu AST do funkcji `compile()`. Atakujący może wstrzyknąć dowolny kod JavaScript, ponieważ wartość `NumberLiteral` jest emitowana bez odpowiedniego oczyszczenia.

CVE-2026-33879
Krytyczne

Platforma Federated Learning and Interoperability Platform (FLIP) w wersjach 0.1.1 i wcześniejszych nie posiada ograniczeń dotyczących liczby prób logowania ani mechanizmu CAPTCHA, co umożliwia ataki typu brute-force oraz credential-stuffing. Użytkownicy FLIP są zewnętrzni w stosunku do organizacji, co zwiększa ryzyko ponownego wykorzystania poświadczeń.

CVE-2026-33875
Krytyczne

Gematik Authenticator zapewnia bezpieczną autoryzację użytkowników do logowania się do aplikacji zdrowotnych. Wersje przed 4.16.0 są podatne na przejęcie procesu autoryzacji, co może pozwolić atakującym na uwierzytelnienie się jako ofiary, które kliknęły złośliwy link.

CVE-2026-33873
Krytyczne

Langflow to narzędzie do budowania i wdrażania agentów oraz przepływów pracy opartych na AI. W wersjach przed 1.9.0 funkcja Agentic Assistant wykonuje kod Python generowany przez LLM podczas fazy walidacji, co może prowadzić do nieautoryzowanego wykonania kodu na serwerze.

CVE-2026-34205
Krytyczne

Home Assistant to oprogramowanie do automatyzacji domu, które stawia na lokalną kontrolę i prywatność. Aplikacje Home Assistant skonfigurowane w trybie sieci hosta udostępniają nieautoryzowane punkty końcowe, które są związane z wewnętrznym interfejsem mostka Docker, co pozwala na dostęp z lokalnej sieci bez uwierzytelnienia.

CVE-2026-33765
Krytyczne

Interfejs administracyjny Pi-hole, używany do zarządzania aplikacją blokującą reklamy i śledzenie w sieci, ma krytyczną podatność na wstrzykiwanie poleceń systemowych w pliku savesettings.php. Wersje przed 6.0 nie sanitizują ani nie walidują parametru $_POST['webtheme'], co pozwala atakującemu na dodanie dowolnych poleceń systemowych.

CVE-2026-33654
Krytyczne

W wersjach przed 0.1.6 asystent AI 'nanobot' ma podatność na pośrednie wstrzykiwanie poleceń w module przetwarzania wiadomości e-mail. Atakujący może wysłać złośliwe polecenia do monitorowanego adresu e-mail bota, co pozwala na wykonanie dowolnych instrukcji LLM bez interakcji właściciela bota.

CVE-2026-34387
Krytyczne

Fleet to oprogramowanie do zarządzania urządzeniami typu open source. Przed wersją 4.81.1 występowała podatność na wstrzykiwanie poleceń w procesie instalacji oprogramowania, która pozwalała atakującemu na wykonanie dowolnego kodu jako root (macOS/Linux) lub SYSTEM (Windows) na zarządzanych hostach podczas wywołania dezinstalacji przygotowanego pakietu oprogramowania. Wersja 4.81.1 naprawia ten problem.

CVE-2026-34374
Krytyczne

WWBN AVideo to otwarta platforma wideo. W wersjach do 26.0 w metodzie `Live_schedule::keyExists()` zapytanie SQL jest konstruowane poprzez interpolację klucza strumienia bez parametryzacji, co stwarza ryzyko SQL injection.

CVE-2026-33770
Krytyczne

WWBN AVideo to otwartoźródłowa platforma wideo. W wersjach do 26.0 w metodzie `fixCleanTitle()` w pliku `objects/category.php` zapytanie SQL SELECT jest konstruowane poprzez bezpośrednie interpolowanie zmiennych `$clean_title` i `$id`, co umożliwia atakującemu wstrzyknięcie dowolnego SQL, jeśli ma możliwość wywołania tworzenia lub zmiany nazwy kategorii.

CVE-2026-30533
Krytyczne

W systemie zamówień online SourceCodester v1.0 występuje podatność na wstrzykiwanie SQL w pliku admin/manage_product.php poprzez parametr 'id'.

CVE-2026-30532
Krytyczne

W systemie zamówień online SourceCodester v1.0 występuje podatność na wstrzyknięcie SQL w pliku admin/view_product.php poprzez parametr 'id'.

CVE-2026-30530
Krytyczne

W systemie zamówień online SourceCodester v1.0 występuje podatność na wstrzykiwanie SQL w pliku Actions.php, w akcji save_customer. Aplikacja nieprawidłowo sanitizuje dane wejściowe dostarczane do parametru 'username', co umożliwia atakującemu wstrzyknięcie złośliwych poleceń SQL.

CVE-2026-30302
Krytyczne

Moduł automatycznej akceptacji poleceń w CodeRider-Kilo zawiera podatność na wstrzykiwanie poleceń systemowych, co czyni mechanizm białej listy nieskutecznym. Problem wynika z niewłaściwego użycia parsera poleceń, który nie jest zgodny z systemem Windows, oraz z błędnego obsługiwania sekwencji ucieczki specyficznych dla CMD Windows.

PoprzedniaStrona 128 z 562Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS