Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-32038
Krytyczne

OpenClaw przed wersją 2026.2.24 zawiera podatność na obejście izolacji sieciowej w piaskownicy, która pozwala zaufanym operatorom dołączyć do przestrzeni nazw sieci innego kontenera. Atakujący mogą skonfigurować parametr docker.network z wartościami container:<id>, aby uzyskać dostęp do usług w przestrzeniach nazw docelowych kontenerów.

CVE-2026-30872
Krytyczne

Projekt OpenWrt to system operacyjny Linux skierowany na urządzenia wbudowane. W wersjach przed 24.10.6 i 25.12.1 występuje podatność na przepełnienie bufora na stosie w funkcji match_ipv6_addresses, wywoływana podczas przetwarzania zapytań PTR dla domen DNS IPv6 (.ip6.arpa) otrzymywanych przez multicast DNS na porcie UDP 5353.

CVE-2026-30871
Krytyczne

Projekt OpenWrt to system operacyjny Linux skierowany na urządzenia wbudowane. W wersjach przed 24.10.6 i 25.12.1 występuje podatność na przepełnienie bufora na stosie w funkcji parse_question demona mdns, wywoływana przez zapytania PTR dla odwrotnych domen DNS.

CVE-2026-4395
Krytyczne

W kodzie KCAPI ECC w funkcji wc_ecc_import_x963_ex() w bibliotece wolfSSL wolfcrypt występuje przepełnienie bufora oparte na stercie. Zdalny atakujący może wprowadzić dane kontrolowane przez siebie poza granice bufora pubkey_raw poprzez odpowiednio skonstruowany, zbyt duży punkt publiczny klucza EC.

CVE-2026-3849
Krytyczne

W bibliotece wolfSSL w wersji 5.8.4 występuje podatność typu przepełnienie bufora stosu w funkcji wc_HpkeLabeledExtract, spowodowana przez zbyt dużą konfigurację ECH (Encrypted Client Hello). Złośliwie skonstruowana konfiguracja ECH może prowadzić do przepełnienia bufora, co skutkuje potencjalnym zdalnym wykonaniem kodu oraz awarią programu klienckiego.

CVE-2026-3549
Krytyczne

W podatności CVE-2026-3549 występuje przepełnienie stosu w analizie rozszerzenia ECH w protokole TLS 1.3. Błąd w logice analizy rozszerzenia ECH prowadzi do pisania poza granice przydzielonego bufora.

CVE-2026-32191
Krytyczne

W Microsoft Bing Images występuje niewłaściwe neutralizowanie specjalnych elementów używanych w poleceniach systemowych, co prowadzi do podatności na wstrzyknięcie poleceń systemowych. Atakujący może zdalnie wykonać kod na systemie ofiary.

CVE-2026-32169
Krytyczne

Podatność typu server-side request forgery (SSRF) w Azure Cloud Shell umożliwia nieautoryzowanemu atakującemu podniesienie uprawnień w sieci. Atakujący może wykorzystać tę lukę do przeprowadzenia nieautoryzowanych działań w infrastrukturze chmurowej.

CVE-2026-30924
Krytyczne

qui to interfejs webowy do zarządzania instancjami qBittorrent. Wersje 1.14.1 i wcześniejsze stosują zbyt liberalną politykę CORS, która odzwierciedla dowolne źródła, umożliwiając zewnętrznym stronom internetowym wykonywanie uwierzytelnionych żądań w imieniu zalogowanego użytkownika.

CVE-2026-30836
Krytyczne

Step CA to internetowa jednostka certyfikująca, która umożliwia bezpieczne i zautomatyzowane zarządzanie certyfikatami dla DevOps. W wersjach 0.30.0-rc6 i starszych nie zabezpieczono się przed nieautoryzowanym wydawaniem certyfikatów za pomocą SCEP UpdateReq. Problem ten został naprawiony w wersji 0.30.0.

CVE-2026-26137
Krytyczne

Podatność typu server-side request forgery (SSRF) w Microsoft Exchange umożliwia autoryzowanemu atakującemu podniesienie uprawnień w sieci.

CVE-2026-32238
Krytyczne

OpenEMR to darmowa i otwarta aplikacja do zarządzania elektroniczną dokumentacją medyczną. Wersje przed 8.0.0.2 zawierają podatność na wstrzykiwanie poleceń w funkcjonalności kopii zapasowej, którą mogą wykorzystać uwierzytelnieni atakujący.

CVE-2026-3548
Krytyczne

W bibliotece wolfSSL występują dwie podatności typu buffer overflow w parserze CRL, które mogą wystąpić podczas przetwarzania numerów CRL. Możliwe jest wystąpienie przepełnienia bufora w stercie przy niewłaściwym przechowywaniu numeru CRL jako ciągu szesnastkowego oraz przepełnienia stosu dla odpowiednio dużych numerów CRL.

CVE-2026-30694
Krytyczne

W DedeCMS w wersji 5.7.118 i wcześniejszych występuje problem, który umożliwia zdalnemu atakującemu wykonanie dowolnego kodu za pomocą komponentu array_filter.

CVE-2025-67114
Krytyczne

Wykorzystanie deterministycznego algorytmu generowania poświadczeń w /ftl/bin/calc_f2 w oprogramowaniu układowym Small Cell Sercomm SCE4255W (FreedomFi Englewood) przed wersją DG3934v3@2308041842 pozwala zdalnym atakującym na uzyskanie ważnych poświadczeń administracyjnych/root z adresu MAC urządzenia, co umożliwia ominięcie uwierzytelnienia i pełny dostęp do urządzenia.

CVE-2025-67113
Krytyczne

W kliencie CWMP (/ftl/bin/cwmp) w oprogramowaniu układowym Small Cell Sercomm SCE4255W (FreedomFi Englewood) przed wersją DG3934v3@2308041842 występuje podatność na wstrzykiwanie poleceń systemowych. Zdalni atakujący mogą wykonać dowolne polecenia jako root, wykorzystując spreparowany adres URL pobierania TR-069, który jest przekazywany bez odpowiedniego zabezpieczenia do procesu aktualizacji oprogramowania.

CVE-2025-67112
Krytyczne

Wykorzystanie twardo zakodowanego klucza AES-256-CBC w implementacji tworzenia kopii zapasowych/przywracania konfiguracji w oprogramowaniu układowym Small Cell Sercomm SCE4255W (FreedomFi Englewood) przed wersją DG3934v3@2308041842 umożliwia zdalnym uwierzytelnionym użytkownikom odszyfrowanie, modyfikację i ponowne zaszyfrowanie konfiguracji urządzenia.

CVE-2026-32865
Krytyczne

OPEXUS eComplaint i eCASE przed wersją 10.1.0.0 zawierają kod weryfikacji sekretu w odpowiedzi HTTP podczas żądania resetowania hasła przez 'ForcePasswordReset.aspx'. Atakujący, który zna adres e-mail istniejącego użytkownika, może zresetować hasło i pytania zabezpieczające użytkownika.

CVE-2026-30402
Krytyczne

W wersjach wgcloud do 2.3.7 występuje problem, który pozwala zdalnemu atakującemu na wykonanie dowolnego kodu poprzez funkcję testowania połączenia.

CVE-2026-22557
Krytyczne

W aplikacji UniFi Network występuje podatność typu Path Traversal, która może być wykorzystana przez złośliwego aktora z dostępem do sieci. Umożliwia to dostęp do plików na systemie, co może prowadzić do manipulacji kontem użytkownika.

PoprzedniaStrona 139 z 562Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS