Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
W podatności typu Użycie twardo zakodowanych poświadczeń w Trane Tracer SC, Tracer SC+ i Tracer Concierge, atakujący może uzyskać dostęp do wrażliwych informacji oraz przejąć konta użytkowników.
Podatność związana z użyciem uszkodzonego lub ryzykownego algorytmu kryptograficznego w urządzeniach Trane Tracer SC, Tracer SC+ i Tracer Concierge może umożliwić atakującemu ominięcie uwierzytelnienia i uzyskanie dostępu na poziomie root.
W wersji 4.3.11 urządzenia GL-iNet GL-AR300M16 odkryto podatność na wstrzykiwanie poleceń poprzez parametr modułu w funkcji M.get_system_log. Ta podatność umożliwia atakującym wykonywanie dowolnych poleceń za pomocą spreparowanego wejścia.
W wersji GL-iNet GL-AR300M16 v4.3.11 zidentyfikowano wiele podatności na wstrzykiwanie poleceń w funkcji set_upgrade, wykorzystujących parametry modem_url, target_version, current_version, firmware_upload, hash_type, hash_value oraz upgrade_type. Te podatności umożliwiają atakującym wykonywanie dowolnych poleceń za pomocą spreparowanego wejścia.
W wersji 4.3.11 urządzenia GL-iNet GL-AR300M16 odkryto podatność na wstrzykiwanie poleceń poprzez parametr port w funkcji enable_echo_server. Ta podatność umożliwia atakującym wykonywanie dowolnych poleceń za pomocą odpowiednio przygotowanego wejścia.
Tina to system zarządzania treścią bez interfejsu graficznego. W wersjach przed 2.1.8, serwer deweloperski TinaCMS CLI łączył luźną konfigurację CORS (Access-Control-Allow-Origin: *) z podatnością na przejście ścieżki, co umożliwia atak typu drive-by w przeglądarce.
Podatność umożliwia użytkownikowi Backup Viewer zdalne wykonanie kodu (RCE) jako użytkownik postgres. To może prowadzić do nieautoryzowanego dostępu do systemu.
Podatność umożliwia uwierzytelnionemu użytkownikowi z rolą Administratora Kopii Zapasowej wykonanie zdalnego kodu (RCE) w środowiskach wysokiej dostępności (HA) aplikacji Veeam Backup & Replication.
Podatność umożliwia uwierzytelnionemu użytkownikowi domeny zdalne wykonanie kodu (RCE) na serwerze kopii zapasowej.
Podatność umożliwia uwierzytelnionemu użytkownikowi domeny zdalne wykonanie kodu (RCE) na serwerze kopii zapasowej.
Podatność umożliwia uwierzytelnionemu użytkownikowi domeny zdalne wykonanie kodu (RCE) na serwerze kopii zapasowych.
System rozdzielania równoległego kodera SGLang jest podatny na zdalne wykonanie kodu bez uwierzytelnienia poprzez moduł rozdzielania, który deserializuje nieufne dane przy użyciu pickle.loads() bez uwierzytelnienia.
Moduł generacji multimodalnej SGLang jest podatny na zdalne wykonanie kodu bez uwierzytelnienia poprzez brokera ZMQ, który deserializuje nieufne dane za pomocą pickle.loads() bez autoryzacji.
Zgłoszono podatność związaną z użyciem twardo zakodowanego hasła w Hyper Data Protector. Zdalni atakujący mogą wykorzystać tę podatność do uzyskania nieautoryzowanego dostępu.
W Google Chrome przed wersją 146.0.7680.71 wystąpił błąd odczytu poza zakresem w funkcji Web Speech, który mógł pozwolić zdalnemu atakującemu na potencjalne wykonanie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.
AdGuard Home to oprogramowanie do blokowania reklam i śledzenia w sieci. Przed wersją 0.107.73, nieautoryzowany atakujący mógł obejść wszelkie mechanizmy uwierzytelniania, wysyłając żądanie HTTP/1.1, które prosiło o aktualizację do HTTP/2 w czystym tekście (h2c). Po zaakceptowaniu aktualizacji, połączenie HTTP/2 było obsługiwane bez żadnego middleware'u uwierzytelniającego.
2FAuth to aplikacja webowa do zarządzania kontami dwuetapowej autoryzacji (2FA) i generowania kodów bezpieczeństwa. W wersjach przed 6.1.0 występuje podatność typu blind SSRF, która pozwala uwierzytelnionym użytkownikom na wykonywanie dowolnych żądań HTTP z serwera do wewnętrznych sieci i punktów końcowych metadanych w chmurze.
Winter to darmowy, otwartoźródłowy system zarządzania treścią (CMS) oparty na frameworku Laravel PHP. W wersjach przed 1.0.477, 1.1.12 i 1.2.12, użytkownicy z autoryzowanym dostępem do backendu mogli podnieść poziom dostępu swoich kont poprzez modyfikację ról i uprawnień przypisanych do ich kont za pomocą specjalnie przygotowanych żądań.
W oslabs-beta ThermaKube master odkryto problem związany z CWE-259: Użycie twardo zakodowanego hasła.
W wersji 4.0.14 narzędzia benkeen generatedata odkryto problem związany z niewłaściwą neutralizacją specjalnych elementów używanych w poleceniach SQL, co klasyfikuje się jako CWE-89.

