Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2016-20024
Krytyczne

ZKTeco ZKTime.Net w wersji 3.0.1.6 zawiera podatność na niebezpieczne uprawnienia plików, która pozwala nieuprzywilejowanym użytkownikom na eskalację uprawnień poprzez modyfikację plików wykonywalnych. Atakujący mogą wykorzystać uprawnienia do zapisu dla wszystkich w katalogu ZKTimeNet3.0 oraz jego zawartości, aby zastąpić pliki wykonywalne złośliwymi binariami.

CVE-2026-3891
Krytyczne

Wtyczka Pix for WooCommerce dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku weryfikacji uprawnień oraz walidacji typu pliku w funkcji 'lkn_pix_for_woocommerce_c6_save_settings' we wszystkich wersjach do 1.5.0 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.

CVE-2026-32367
Krytyczne

W podatności CVE-2026-32367 występuje niewłaściwa kontrola generowania kodu, co prowadzi do możliwości zdalnego wstrzyknięcia kodu w bibliotece Modal Dialog w wersjach od n/a do 3.5.16. Atakujący może wykorzystać tę lukę do wprowadzenia złośliwego kodu.

CVE-2026-32306
Krytyczne

OneUptime to rozwiązanie do monitorowania i zarządzania usługami online. W wersjach przed 10.0.23, API agregacji telemetrycznej akceptowało parametry kontrolowane przez użytkownika, co umożliwiało wstrzykiwanie dowolnego SQL do zapytań ClickHouse, co prowadziło do poważnych zagrożeń dla bezpieczeństwa.

CVE-2026-32304
Krytyczne

Biblioteka Locutus w wersji przed 3.0.14 zawiera podatność w funkcji create_function(args, code), która przekazuje oba parametry bezpośrednio do konstruktora Function bez żadnej sanityzacji, umożliwiając wykonanie dowolnego kodu JavaScript.

CVE-2026-32301
Krytyczne

Centrifugo to otwartoźródłowy serwer wiadomości w czasie rzeczywistym, który przed wersją 6.7.0 jest podatny na atak typu Server-Side Request Forgery (SSRF) przy skonfigurowanym dynamicznym adresie URL JWKS z użyciem zmiennych szablonowych. Nieautoryzowany atakujący może stworzyć JWT z złośliwą wartością roszczenia iss lub aud, co prowadzi do wysłania żądania HTTP do kontrolowanego przez atakującego miejsca.

CVE-2026-31886
Krytyczne

Dagu to silnik workflow z wbudowanym interfejsem użytkownika w sieci. W wersjach przed 2.2.4 pole żądania dagRunId akceptowane przez punkty końcowe wykonania DAG inline nie jest walidowane, co pozwala na wykorzystanie segmentów .. do przekierowania ścieżki katalogu tymczasowego poza zamierzony katalog.

CVE-2026-31806
Krytyczne

W FreeRDP przed wersją 3.24.0 funkcja gdi_surface_bits() nieprawidłowo waliduje wartości bmp.width i bmp.height dostarczane przez serwer RDP. Złośliwy serwer może przesłać spreparowane wartości przekraczające rozmiar powierzchni, co prowadzi do przepełnienia bufora sterty podczas dekodowania bitmap. Atakujący może kontrolować dane pikseli, co umożliwia potencjalne nadpisanie sąsiedniej pamięci sterty.

CVE-2026-26954
Krytyczne

SandboxJS to biblioteka do sandboxingu JavaScript. W wersjach przed 0.8.34 istniała możliwość uzyskania tablic zawierających funkcje, co pozwalało na ucieczkę z sandboxa.

CVE-2026-25823
Krytyczne

Urządzenia HMS Networks Ewon Flexy z firmware przed 15.0s4, Cosy+ z firmware 22.xx przed 22.1s6 oraz Cosy+ z firmware 23.xx przed 23.0s3 mają podatność na przepełnienie bufora stosu, co prowadzi do odmowy usługi. Ta podatność może być również wykorzystana do zdalnego wykonania kodu bez uwierzytelnienia.

CVE-2026-25818
Krytyczne

Urządzenia HMS Networks Ewon Flexy z firmware przed wersją 15.0s4 oraz Cosy+ z firmware 22.xx przed wersją 22.1s6 i 23.xx przed wersją 23.0s3 mają słabą entropię dla ciasteczek uwierzytelniających. To umożliwia atakującemu, który posiada skradzione ciasteczko sesyjne, odnalezienie hasła użytkownika poprzez atak brute-force na parametr szyfrowania.

CVE-2026-23941
Krytyczne

Podatność typu 'HTTP Request Smuggling' w module httpd Erlang OTP pozwala na nieprawidłową interpretację nagłówków HTTP. Serwer nie odrzuca ani nie normalizuje zduplikowanych nagłówków Content-Length, co prowadzi do desynchronizacji między front-endem a back-endem.

CVE-2026-22192
Krytyczne

Voltronic Power SNMP Web Pro w wersji 1.1 zawiera podatność na obejście uwierzytelniania, która pozwala nieautoryzowanym atakującym uzyskać dostęp do uprzywilejowanych funkcji zarządzania poprzez manipulację wartościami localStorage w przeglądarce. Atakujący mogą modyfikować stan uwierzytelnienia po stronie klienta, aby obejść kontrole dostępu po stronie serwera.

CVE-2026-1668
Krytyczne

Interfejs webowy na wielu przełącznikach Omada nieprawidłowo waliduje niektóre zewnętrzne dane wejściowe, co może prowadzić do dostępu do pamięci poza przydzielonym zakresem podczas przetwarzania spreparowanych żądań. W określonych warunkach ta wada może skutkować niezamierzonym wykonaniem poleceń.

CVE-2026-3611
Krytyczne

Kontroler zarządzania budynkiem Honeywell IQ4x w domyślnej konfiguracji fabrycznej udostępnia pełny interfejs HMI bez uwierzytelnienia. Brak skonfigurowanego modułu użytkownika powoduje, że bezpieczeństwo jest wyłączone, a system działa w kontekście Gościa Systemowego, co umożliwia dostęp do funkcji odczytu/zapisu każdemu, kto ma dostęp do interfejsu HTTP.

CVE-2026-32248
Krytyczne

Parse Server to otwarte oprogramowanie backendowe, które może być wdrażane na każdej infrastrukturze obsługującej Node.js. W wersjach przed 9.6.0-alpha.12 i 8.6.38, nieautoryzowany atakujący może przejąć dowolne konto użytkownika utworzone z użyciem dostawcy uwierzytelniania, który nie weryfikuje formatu identyfikatora użytkownika, co pozwala na uzyskanie ważnego tokena sesji.

CVE-2026-32232
Krytyczne

ZeptoClaw to osobisty asystent AI, który przed wersją 0.7.6 miał podatność na obejście komponentu związanego z wiszącymi dowiązaniami, problem TOCTOU między walidacją a użyciem oraz obejście aliasu dowiązania twardego. Podatność ta została naprawiona w wersji 0.7.6.

CVE-2026-26793
Krytyczne

W wersji 4.3.11 urządzenia GL-iNet GL-AR300M16 odkryto podatność na wstrzykiwanie poleceń poprzez funkcję set_config. Ta podatność umożliwia atakującym wykonywanie dowolnych poleceń za pomocą spreparowanego wejścia.

CVE-2025-70245
Krytyczne

W podatności CVE-2025-70245 występuje przepełnienie bufora stosu w urządzeniu D-Link DIR-513 w wersji 1.10, które jest wywoływane przez parametr curTime w funkcji goform/formSetWizardSelectMode.

CVE-2026-28256
Krytyczne

W podatności typu 'Użycie zakodowanych na sztywno, istotnych dla bezpieczeństwa stałych' w systemach Trane Tracer SC, Tracer SC+ i Tracer Concierge, atakujący może uzyskać dostęp do wrażliwych informacji oraz przejąć konta użytkowników.

PoprzedniaStrona 143 z 562Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS