Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
To CVE zostało odrzucone i nie powinno być używane. Numer kandydata został wydany błędnie, a wszystkie odniesienia i opisy usunięto, aby zapobiec przypadkowemu wykorzystaniu.
Podatność przepełnienia bufora stosu w interfejsie zarządzania sieciowego routera TP-Link TL-WR841N v14 umożliwia uwierzytelnionemu atakującemu zdalne spowodowanie awarii urządzenia poprzez wysłanie spreparowanego żądania HTTP. Skuteczne wykorzystanie prowadzi do odmowy usługi (DoS), powodując crash i automatyczny restart urządzenia.
W Rancher w wersjach 2.14 przed 2.14.2, 2.13 przed 2.13.6 oraz 2.12 przed 2.12.10 użytkownicy z rolą Project Owner mogą wykorzystać nieprawidłowe zarządzanie uprawnieniami do eskalacji swoich przywilejów.
W wersjach Snowflake CLI starszych niż 3.19 poufne dane uwierzytelniające (hasła, tokeny, klucze prywatne) były zapisywane w postaci jawnej do lokalnych plików dziennika debugowania. Atakujący z dostępem do tych plików mógł przejąć dane logowania.
Podatność w Snowflake CLI przed wersją 3.19 umożliwia zdalne wykonanie kodu poprzez nieprawidłową neutralizację w szablonie wywołania zwrotnego procesora adnotacji Snowpark. Atakujący może dostarczyć spreparowaną zawartość projektu, która jest interpolowana do wygenerowanego kodu Python, co prowadzi do wykonania kodu w kontekście lokalnym użytkownika uruchamiającego CLI.
Podatność w Snowflake CLI przed wersją 3.19 umożliwiała odczyt dowolnych plików lokalnych i przesłanie ich do usług Snowflake. Atakujący mógł wykorzystać to przez dostarczenie spreparowanej treści repozytorium lub projektu, która odwoływała się do plików poza zamierzonym katalogiem projektu.
W Snowflake CLI przed wersją 3.19 stwierdzono podatność polegającą na nieprawidłowej neutralizacji lokalnych parametrów CLI, co umożliwiało niezamierzone wykonanie poleceń SQL. Atakujący mógł wykorzystać ten problem poprzez dostarczenie spreparowanych wartości do podatnych poleceń Cortex SQL lub ścieżek wyświetlania obiektów, powodując wykonanie niezamierzonego SQL w kontekście sesji użytkownika.
Podatność w Snowflake CLI przed wersją 3.19 umożliwiała wykonanie niezamierzonego SQL przez dostarczenie spreparowanego repozytorium, konfiguracji projektu, danych manifestu lub specyfikacji. Atakujący może wykorzystać tę lukę, aby wykonać dowolne zapytania SQL w kontekście sesji ofiary.
Podatność w Honeywell IQ MultiAccess (wersje do 28 włącznie) wynika z nieprawidłowej weryfikacji podpisu cyfrowego. Umożliwia ona atakującemu podmianę pobieranego pliku na złośliwy.
W bibliotece PcapPlusPlus 25.05 w funkcji parse_by_block_type pliku light_pcapng.c występuje podatność na przepełnienie bufora sterty. Atakujący może zdalnie wykorzystać tę lukę poprzez manipulację argumentem captured_packet_length, jednak wymaga to wysokiej złożoności i jest trudne do przeprowadzenia.
W urządzeniu Edimax EW-7478APC w wersji 1.04 odkryto podatność na przepełnienie bufora w funkcji formUSBFolder pliku /goform/formUSBFolder. Manipulacja argumentami ShareName/SelectName w żądaniu POST może prowadzić do przepełnienia bufora, co umożliwia zdalny atak. Exploit został ujawniony publicznie i może być wykorzystany.
W urządzeniu Edimax EW-7478APC w wersji 1.04 wykryto podatność na przepełnienie bufora w funkcji formUSBAccount pliku /goform/formUSBAccount. Atakujący może zdalnie manipulować argumentami UserName/Password, co prowadzi do przepełnienia bufora. Exploit został opublikowany i może być wykorzystany.
W urządzeniu Edimax EW-7478APC w wersji 1.04 wykryto podatność polegającą na wstrzykiwaniu poleceń systemu operacyjnego. Problem występuje w funkcji formStaDrvSetup w pliku /goform/formStaDrvSetup, gdzie argument rootAPmac jest nieprawidłowo filtrowany. Atak może być przeprowadzony zdalnie, a exploit jest publicznie dostępny.
W urządzeniu Edimax EW-7478APC w wersji 1.04 wykryto podatność na przepełnienie bufora w funkcji formQoS pliku /goform/formQoS. Atakujący może zdalnie manipulować argumentem selSSID, co prowadzi do przepełnienia bufora. Exploit został publicznie ujawniony i może być wykorzystany.
W Devolutions PowerShell Universal 2026.2.0 wykryto podatność polegającą na wstawianiu wrażliwych informacji do wysyłanych danych w API zadań AI Agenta. Uwierzytelniony użytkownik z dostępem do odczytu AI Agenta może uzyskać wielokrotnego użytku tokeny uwierzytelniające o potencjalnie wyższych uprawnieniach, które są serializowane w postaci jawnego tekstu w odpowiedziach API zadań.
Identyfikator CVE-2026-57525 został odrzucony lub wycofany przez organ nadający numery CVE. Nie zawiera żadnych informacji o podatności.
To CVE zostało odrzucone lub wycofane przez autorytet nadający numery CVE. Nie zawiera żadnych informacji o podatności.
Wtyczka Colissimo Officiel : Méthodes de livraison pour WooCommerce w wersji 2.9.0 i niższych zawiera podatność na nieuwierzytelnione niebezpieczne bezpośrednie odwołania do obiektów (IDOR). Umożliwia to atakującemu bez logowania dostęp do wrażliwych danych lub operacji poprzez manipulację identyfikatorami obiektów.
Wtyczka Japanized For WooCommerce w wersji 2.9.12 i starszych zawiera lukę umożliwiającą nieuwierzytelnionym atakującym ominięcie kontroli dostępu. Podatność ta pozwala na nieautoryzowany dostęp do funkcji administracyjnych bez wymaganego uwierzytelnienia.
Wtyczka Business Directory w wersji 6.4.23 i starszych zawiera lukę umożliwiającą nieuwierzytelnionym atakującym ominięcie kontroli dostępu. Podatność ta pozwala na nieautoryzowany dostęp do funkcji administracyjnych bez wymaganego uwierzytelnienia.

