Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-30702
Krytyczne

Wzmacniacz WiFi WDR201A (HW V2.1, FW LFMZX28040922V1.02) posiada wadliwy mechanizm uwierzytelniania w swoim interfejsie zarządzania przez sieć. Strona logowania nie wymusza prawidłowej walidacji sesji, co pozwala atakującym na ominięcie uwierzytelnienia poprzez bezpośredni dostęp do zastrzeżonych punktów końcowych aplikacji webowej.

CVE-2026-30701
Krytyczne

Interfejs webowy wzmacniacza WiFi WDR201A (HW V2.1, FW LFMZX28040922V1.02) zawiera mechanizmy ujawniania twardo zakodowanych poświadczeń w wielu stronach serwera, w tym login.shtml i settings.shtml. Strony te osadzają dyrektywy wykonawcze po stronie serwera, które dynamicznie pobierają i ujawniają hasło administracyjne z pamięci nieulotnej w czasie rzeczywistym.

CVE-2026-29859
Krytyczne

W aaPanel w wersji 7.57.0 występuje podatność na przesyłanie dowolnych plików, która pozwala atakującym na wykonanie dowolnego kodu poprzez przesłanie odpowiednio przygotowanego pliku.

CVE-2025-67830
Krytyczne

Mura w wersjach przed 10.1.14 umożliwia wstrzyknięcie SQL poprzez parametr sortby w pliku beanFeed.cfc w metodzie getQuery.

CVE-2025-67829
Krytyczne

Mura w wersjach przed 10.1.14 umożliwia wstrzyknięcie SQL poprzez parametr sortDirection w pliku beanFeed.cfc w metodzie getQuery.

CVE-2026-25449
Krytyczne

Podatność na deserializację niezaufanych danych w shinetheme Traveler umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji Traveler od n/a do < 3.2.8.1.

CVE-2026-31938
Krytyczne

Biblioteka jsPDF w wersji przed 4.2.1 zawiera podatność na wstrzykiwanie kodu HTML (w tym skryptów) poprzez kontrolę argumentu `options` funkcji `output`. Atakujący może przekazać złośliwe wartości, które po wygenerowaniu i otwarciu pliku PDF w przeglądarce ofiary wykonują się w jej kontekście.

CVE-2026-30884
Krytyczne

Wtyczka mdjnelson/moodle-mod_customcert dla Moodle umożliwia tworzenie dynamicznie generowanych certyfikatów z pełną personalizacją przez przeglądarkę. W wersjach przed 4.4.9 i 5.0.3 nauczyciel posiadający uprawnienia `mod/customcert:manage` w jednym kursie może odczytać i cicho nadpisać elementy certyfikatu należące do innego kursu w instalacji Moodle.

CVE-2026-27459
Krytyczne

Podatność w bibliotece pyOpenSSL w wersjach od 22.0.0 do 25.x pozwala na przepełnienie bufora OpenSSL, gdy funkcja zwrotna `set_cookie_generate_callback` zwróci wartość ciasteczka dłuższą niż 256 bajtów. Problem został naprawiony w wersji 26.0.0 poprzez odrzucanie zbyt długich wartości ciasteczek.

CVE-2026-21994
Krytyczne

Podatność w produkcie Oracle Edge Cloud Infrastructure Designer i Visualisation Toolkit, wersja 0.3.0, umożliwia nieautoryzowanemu atakującemu z dostępem do sieci przez HTTP przejęcie kontroli nad tym narzędziem. Atakujący może łatwo wykorzystać tę podatność.

CVE-2026-3207
Krytyczne

Problem z konfiguracją w Java Management Extensions (JMX) w wersji 4.x TIBCO BPM umożliwia nieautoryzowany dostęp.

CVE-2026-32298
Krytyczne

KVM Angeet ES3 nieprawidłowo sanitizuje zmienne dostarczane przez użytkownika, które są analizowane przez skrypt 'cfg.lua'. To pozwala uwierzytelnionemu atakującemu na wykonanie poleceń na poziomie systemu operacyjnego.

CVE-2026-25770
Krytyczne

W Wazuh, od wersji 3.9.0 do 4.14.3, występuje podatność na eskalację uprawnień w protokole synchronizacji klastra. Usługa `wazuh-clusterd` pozwala uwierzytelnionym węzłom na zapisywanie dowolnych plików w systemie plików menedżera z uprawnieniami użytkownika `wazuh`, co może prowadzić do złośliwego wstrzyknięcia komend.

CVE-2026-25769
Krytyczne

Wazuh to darmowa i otwarta platforma służąca do zapobiegania, wykrywania i reagowania na zagrożenia. W wersjach od 4.0.0 do 4.14.2 występuje podatność na zdalne wykonanie kodu (RCE) spowodowana deserializacją niezaufanych danych, co wpływa na wszystkie wdrożenia Wazuh w trybie klastrowym.

CVE-2026-25534
Krytyczne

Spinnaker zaktualizował logikę walidacji URL, jednak nie uwzględnił, że obiekty URL w Javie nieprawidłowo obsługują znaki podkreślenia. To doprowadziło do obejścia wcześniejszej podatności (CVE-2025-61916) poprzez starannie skonstruowane URL-e.

CVE-2026-3564
Krytyczne

Podatność w komponencie serwera ScreenConnect umożliwia osobie posiadającej dostęp do materiałów kryptograficznych używanych do uwierzytelniania na poziomie serwera uzyskanie nieautoryzowanego dostępu, w tym podwyższonych uprawnień, w określonych scenariuszach. Agenci klienccy ScreenConnect (host i gość) nie są bezpośrednio dotknięci tą podatnością.

CVE-2026-4312
Krytyczne

Oprogramowanie audytowe GCB/FCB opracowane przez DrangSoft ma lukę związaną z brakiem uwierzytelnienia, co pozwala nieautoryzowanym atakującym zdalnym na bezpośredni dostęp do niektórych interfejsów API w celu utworzenia nowego konta administracyjnego.

CVE-2026-4177
Krytyczne

Biblioteka YAML::Syck w wersjach do 1.36 dla Perla zawiera kilka potencjalnych podatności bezpieczeństwa, w tym przepełnienie bufora sterty o wysokiej dotkliwości w emiterze YAML. Przepełnienie występuje, gdy nazwy klas przekraczają początkową alokację 512 bajtów.

CVE-2025-69902
Krytyczne

W komponentach minimal_wrapper.py w kubectl-mcp-server w wersji 1.2.0 występuje podatność na wstrzykiwanie poleceń, która pozwala atakującym na wykonywanie dowolnych poleceń poprzez wstrzykiwanie metaznaków powłoki.

CVE-2026-32267
Krytyczne

Craft CMS to system zarządzania treścią (CMS). W wersjach od 4.0.0-RC1 do przed 4.17.6 oraz od 5.0.0-RC1 do przed 5.9.12, użytkownik o niskich uprawnieniach (lub nieautoryzowany użytkownik, który otrzymał udostępniony URL) może podnieść swoje uprawnienia do poziomu administratora, wykorzystując metodę UsersController->actionImpersonateWithToken. Problem został naprawiony w wersjach 4.17.6 i 5.9.12.

PoprzedniaStrona 141 z 562Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS