Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2025-56422
KrytyczneEPSS 54%

Podatność deserializacji w LimeSurvey przed wersją 6.15.0+250623 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu na serwerze.

CVE-2025-41709
Krytyczne

Nieautoryzowany zdalny atakujący może przeprowadzić atak typu injection komend poprzez Modbus-TCP lub Modbus-RTU, co pozwala na uzyskanie dostępu do odczytu i zapisu na podatnym urządzeniu.

CVE-2025-40943
Krytyczne

Urządzenia dotknięte tą podatnością nieprawidłowo oczyszczają zawartość plików śledzenia. Może to umożliwić atakującemu wstrzyknięcie kodu poprzez inżynierię społeczną autoryzowanego użytkownika, który ma prawo do funkcji 'Odczyt diagnostyki', aby zaimportować specjalnie przygotowany plik śledzenia.

CVE-2026-30921
Krytyczne

OneUptime to rozwiązanie do monitorowania i zarządzania usługami online. W wersjach przed 10.0.20, syntetyczne monitory OneUptime pozwalały użytkownikom o niskich uprawnieniach na przesyłanie niestandardowego kodu Playwright, który był wykonywany na usłudze oneuptime-probe, co prowadziło do możliwości zdalnego wykonania kodu (RCE).

CVE-2026-30887
Krytyczne

OneUptime to rozwiązanie do monitorowania i zarządzania usługami online. W wersjach przed 10.0.18, OneUptime pozwala członkom projektu na uruchamianie niestandardowego kodu Playwright/JavaScript za pomocą Synthetic Monitors, co prowadzi do możliwości wykonania nieautoryzowanych poleceń systemowych z powodu niebezpiecznego wykonania kodu w module Node.js.

CVE-2026-30869
Krytyczne

SiYuan to system zarządzania wiedzą osobistą. W wersjach przed 3.5.10 występuje podatność na traversję ścieżek w punkcie końcowym /export, która pozwala atakującemu na odczyt dowolnych plików z systemu plików serwera.

CVE-2026-30862
Krytyczne

W aplikacji Appsmith, przed wersją 1.96, występowała krytyczna podatność typu Stored XSS w widżecie tabeli (TableWidgetV2). Przyczyną jest brak sanitizacji HTML w procesie renderowania komponentu React, co pozwala na wstrzykiwanie złośliwych atrybutów do DOM.

CVE-2026-27685
Krytyczne

SAP NetWeaver Enterprise Portal Administration jest podatny na atak, gdy uprzywilejowany użytkownik przesyła nieufne lub złośliwe treści, które po deserializacji mogą prowadzić do poważnego wpływu na poufność, integralność i dostępność systemu gospodarza.

CVE-2026-0953
Krytyczne

Wtyczka Tutor LMS Pro dla WordPressa jest podatna na obejście uwierzytelnienia we wszystkich wersjach do 3.9.5 włącznie, za pośrednictwem dodatku Social Login. Problem wynika z braku weryfikacji, czy adres e-mail podany w żądaniu uwierzytelnienia odpowiada adresowi e-mail z zweryfikowanego tokena OAuth.

CVE-2025-11158
Krytyczne

Wersje Hitachi Vantara Pentaho Data Integration & Analytics przed 10.2.0.6, w tym 9.3.x i 8.3.x, nie ograniczają skryptów Groovy w nowych raportach PRPT publikowanych przez użytkowników, co pozwala na wstawianie dowolnych skryptów i prowadzi do zdalnego wykonania kodu (RCE).

CVE-2026-31816
Krytyczne

Budibase to platforma niskokodowa do tworzenia narzędzi wewnętrznych, przepływów pracy i paneli administracyjnych. W wersjach 3.31.4 i wcześniejszych, middleware authorized() serwera Budibase, który chroni każdy punkt końcowy API po stronie serwera, może być całkowicie ominięty przez dodanie wzoru ścieżki webhooka do ciągu zapytania w dowolnym żądaniu.

CVE-2026-30240
Krytyczne

Budibase to platforma niskokodowa do tworzenia narzędzi wewnętrznych, przepływów pracy i paneli administracyjnych. W wersjach 3.31.5 i wcześniejszych występuje podatność na traversję ścieżek w punkcie końcowym przetwarzania ZIP PWA, która pozwala uwierzytelnionemu użytkownikowi z uprawnieniami twórcy na odczyt dowolnych plików z systemu plików serwera.

CVE-2025-70039
Krytyczne

W linagora Twake v2023.Q1.1223 zidentyfikowano problem związany z CWE-78: Niewłaściwe neutralizowanie specjalnych elementów używanych w poleceniach systemu operacyjnego. Problem ten może prowadzić do wykonania nieautoryzowanych poleceń.

CVE-2025-70046
Krytyczne

W Miazzy oa-front-service master odkryto problem związany z CWE-829: Włączenie funkcjonalności z nieufnej sfery kontrolnej.

CVE-2025-70042
Krytyczne

W systemie oslabs-beta ThermaKube master odkryto problem związany z CWE-918: Fałszywe żądanie serwera. Ta podatność może umożliwić atakującemu manipulację żądaniami wysyłanymi przez serwer.

CVE-2025-40639
Krytyczne

W Eventobot zidentyfikowano podatność na wstrzykiwanie SQL. Umożliwia ona atakującemu pobieranie, tworzenie, aktualizowanie oraz usuwanie baz danych za pomocą parametru 'promo_send' w pliku '/assets/php/calculate_discount.php'.

CVE-2026-24713
Krytyczne

W Apache IoTDB występuje podatność związana z niewłaściwą walidacją danych wejściowych. Dotyczy to wersji od 1.0.0 do przed 1.3.7 oraz od 2.0.0 do przed 2.0.7.

CVE-2026-24015
Krytyczne

Podatność w Apache IoTDB dotyczy wersji od 1.0.0 do przed 1.3.7 oraz od 2.0.0 do przed 2.0.7. Użytkownicy powinni zaktualizować swoje oprogramowanie do wersji 1.3.7 lub 2.0.7, aby usunąć problem.

CVE-2025-41765
Krytyczne

Z powodu niewystarczającego egzekwowania autoryzacji, nieautoryzowany zdalny atakujący może wykorzystać punkt końcowy wwwupload.cgi do przesyłania i stosowania dowolnych danych. Może to obejmować m.in. obrazy kontaktów, certyfikaty HTTPS, kopie zapasowe systemu, konfiguracje serwera oraz certyfikaty i klucze BACnet/SC.

CVE-2025-41764
Krytyczne

Z powodu niewystarczającego egzekwowania autoryzacji, nieautoryzowany zdalny atakujący może wykorzystać punkt końcowy wwwupdate.cgi do przesyłania i stosowania dowolnych aktualizacji.

PoprzedniaStrona 148 z 562Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS