Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-25192
Krytyczne

Punkty końcowe WebSocket nie mają odpowiednich mechanizmów uwierzytelniania, co umożliwia atakującym podszywanie się pod stacje i manipulowanie danymi wysyłanymi do backendu. Nieautoryzowany atakujący może połączyć się z punktem końcowym OCPP WebSocket, używając znanego identyfikatora stacji ładowania, a następnie wydawać lub odbierać polecenia OCPP jako legalny ładowarka.

CVE-2026-21732
Krytyczne

Strona internetowa zawierająca nietypowy kod shaderów GPU może zostać załadowana do procesu kompilatora GPU, co prowadzi do awarii z powodu zapisu poza przydzielonym obszarem pamięci w bibliotece kompilatora shaderów GPU. W pewnych warunkach, gdy proces kompilacji ma uprawnienia systemowe, może to umożliwić dalsze ataki na urządzenie.

CVE-2026-3584
Krytyczne

Wtyczka Kali Forms dla WordPressa jest podatna na zdalne wykonanie kodu we wszystkich wersjach do i włącznie z 2.4.9 poprzez funkcję 'form_process'. Problem wynika z funkcji 'prepare_post_data', która bezpośrednio mapuje klucze dostarczone przez użytkownika do wewnętrznego magazynu zastępczego, co umożliwia atakującym wykonanie kodu na serwerze.

CVE-2026-22901
Krytyczne

Zgłoszono podatność na wstrzykiwanie poleceń w QuNetSwitch. Zdalny atakujący, posiadając konto użytkownika, może wykorzystać tę podatność do wykonywania dowolnych poleceń.

CVE-2026-22900
Krytyczne

Zgłoszono podatność związaną z użyciem twardo zakodowanych poświadczeń w QuNetSwitch. Zdalni atakujący mogą wykorzystać tę podatność do uzyskania nieautoryzowanego dostępu.

CVE-2026-22898
Krytyczne

Zgłoszono podatność w QVR Pro, polegającą na braku uwierzytelnienia dla krytycznej funkcji. Zdalni atakujący mogą wykorzystać tę podatność, aby uzyskać dostęp do systemu.

CVE-2026-22897
Krytyczne

Zgłoszono podatność na wstrzykiwanie poleceń w QuNetSwitch, która pozwala zdalnym atakującym na wykonywanie dowolnych poleceń. Problem został naprawiony w wersji QuNetSwitch 2.0.4.0415 i nowszych.

CVE-2025-59383
Krytyczne

Zgłoszono podatność typu przepełnienie bufora, która dotyczy dodatku do strumieniowania mediów. Zdalni atakujący mogą wykorzystać tę podatność do modyfikacji pamięci lub awarii procesów.

CVE-2025-15608
Krytyczne

Podatność w AX53 v1 wynika z niewystarczającej sanitizacji danych wejściowych w logice obsługi sond, co może prowadzić do przepełnienia bufora na stosie. W wyniku tego, usługa może ulegać awarii, a w określonych warunkach może umożliwić zdalne wykonanie kodu.

CVE-2025-15607
Krytyczne

Wersja v1 urządzenia AX53 zawiera podatność na wstrzykiwanie poleceń w funkcjonalności debugowania mscd, spowodowaną niewystarczającym przetwarzaniem danych wejściowych. Umożliwia to atakującym z odpowiednimi uprawnieniami przekierowanie logów do dowolnych plików oraz łączenie niezweryfikowanej zawartości plików z poleceniami powłoki.

CVE-2026-22172
Krytyczne

Wersje OpenClaw przed 2026.3.12 zawierają podatność na obejście autoryzacji w ścieżce połączenia WebSocket, która pozwala na samodzielne deklarowanie podwyższonych zakresów przez połączenia z użyciem tokenów współdzielonych lub uwierzytelnionych hasłem, bez powiązania po stronie serwera. Atakujący mogą wykorzystać tę lukę do przedstawienia nieautoryzowanych zakresów, takich jak operator.admin, i wykonywania operacji dostępnych tylko dla administratorów bramy.

CVE-2024-44722
Krytyczne

SysAK w wersji 2.0 i wcześniejszych jest podatny na wykonanie polecenia poprzez aaa;cat /etc/passwd. Atakujący może uzyskać dostęp do wrażliwych informacji z pliku passwd.

CVE-2026-33136
Krytyczne

WeGIA to menedżer internetowy dla instytucji charytatywnych. W wersjach 3.6.6 i poniżej występuje podatność typu Reflected Cross-Site Scripting (XSS) w punkcie końcowym listar_memorandos_ativos.php, która pozwala atakującemu na wstrzyknięcie dowolnego kodu JavaScript lub znaczników HTML poprzez parametr GET sccd.

CVE-2026-33135
Krytyczne

WeGIA to menedżer internetowy dla instytucji charytatywnych. W wersjach 3.6.6 i poniżej występuje podatność na odzwierciedlone XSS w punkcie końcowym novo_memorandoo.php, umożliwiająca atakującemu wstrzyknięcie dowolnego JavaScriptu poprzez parametr GET sccs.

CVE-2026-33134
Krytyczne

WeGIA to menedżer internetowy dla instytucji charytatywnych. W wersjach 3.6.5 i poniżej występuje podatność na uwierzytelnioną iniekcję SQL w punkcie końcowym html/matPat/restaurar_produto.php, która pozwala uwierzytelnionemu atakującemu na wstrzyknięcie dowolnych poleceń SQL przez parametr GET id_produto.

CVE-2026-33067
Krytyczne

SiYuan to system zarządzania wiedzą osobistą. W wersjach 3.6.0 i wcześniejszych pola metadanych pakietu (displayName, description) są renderowane przy użyciu literałów szablonowych bez uciekania się do HTML. Złośliwy autor pakietu może wstrzyknąć dowolny HTML/JavaScript, który wykonuje się automatycznie, gdy użytkownik przegląda stronę Bazaar.

CVE-2026-33066
Krytyczne

SiYuan to system zarządzania wiedzą osobistą. W wersjach 3.6.0 i wcześniejszych funkcja backendowa renderREADME używa lute.New() bez wywołania SetSanitize(true), co pozwala na przejście surowego HTML osadzonego w Markdown bez modyfikacji. W rezultacie złośliwy autor pakietu może osadzić dowolny JavaScript w swoim README, który wykonuje się po kliknięciu przez użytkownika.

CVE-2026-33057
Krytyczne

Mesop to framework UI oparty na Pythonie, który pozwala użytkownikom na budowanie aplikacji webowych. W wersjach 1.2.2 i poniżej, istnieje punkt końcowy w module ai/testing, który bezwarunkowo przyjmuje nieufne ciągi kodu Python bez żadnych środków uwierzytelniających, co prowadzi do nieograniczonego zdalnego wykonania kodu.

CVE-2026-33054
Krytyczne

Mesop to framework UI oparty na Pythonie, który pozwala użytkownikom na budowanie aplikacji webowych. W wersjach 1.2.2 i poniżej występuje podatność typu Path Traversal, która umożliwia atakującym dostęp do dowolnych plików na dysku, co może prowadzić do awarii aplikacji lub manipulacji plikami.

CVE-2026-32768
Krytyczne

Chall-Manager to system niezależny od platformy, który umożliwia uruchamianie wyzwań na żądanie gracza. W wersjach przed 0.6.5, z powodu błędnie napisanej polityki sieciowej, złośliwy aktor może przejść z instancji do dowolnego Pod w oryginalnej przestrzeni nazw, co narusza oczekiwaną zasadę bezpieczeństwa domyślnego.

PoprzedniaStrona 137 z 562Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS