Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-24109
Krytyczne

W urządzeniu Tenda W20E V4.0br_V15.11.0.6 odkryto problem związany z brakiem walidacji rozmiarów zmiennych w funkcji `sprintf`, co może prowadzić do przepełnienia bufora. Atakujący mogą wykorzystać tę podatność, kontrolując wartość `picName`.

CVE-2026-24108
Krytyczne

W urządzeniu Tenda W20E V4.0br_V15.11.0.6 odkryto problem, który może być wykorzystany przez atakujących do kontrolowania wartości `nptr`. Gdy ta wartość jest przekazywana do funkcji `getMibPrefix` i łączona za pomocą `sprintf` bez odpowiedniej walidacji rozmiaru, może to prowadzić do podatności na przepełnienie bufora.

CVE-2026-24107
Krytyczne

W urządzeniu Tenda W20E V4.0br_V15.11.0.6 odkryto problem związany z brakiem walidacji wartości `usbPartitionName`, która jest bezpośrednio używana w `doSystemCmd`. Może to prowadzić do krytycznych podatności na wstrzykiwanie poleceń.

CVE-2025-50192
Krytyczne

Chamilo to system zarządzania nauczaniem. Przed wersją 1.11.30 występowała podatność na atak typu SQL Injection oparty na czasie w pliku /main/webservices/registration.soap.php. Problem ten został naprawiony w wersji 1.11.30.

CVE-2025-50190
Krytyczne

Chamilo to system zarządzania nauczaniem. Przed wersją 1.11.30 występował błąd umożliwiający atak typu SQL Injection poprzez parametr GET openid.assoc_handle w skrypcie /index.php. Problem został naprawiony w wersji 1.11.30.

CVE-2025-50187
Krytyczne

Chamilo to system zarządzania nauczaniem. W wersjach przed 1.11.28 parametr z żądania SOAP jest oceniany bez filtrowania, co prowadzi do możliwości zdalnego wykonania kodu. Problem został naprawiony w wersji 1.11.28.

CVE-2026-3432
Krytyczne

W wersjach SimStudio poniżej 0.5.74, punkt końcowy `/api/auth/oauth/token` zawiera ścieżkę kodu, która omija wszystkie kontrole autoryzacji przy podaniu parametrów `credentialAccountUserId` i `providerId`. Nieautoryzowany atakujący może uzyskać tokeny dostępu OAuth dla dowolnego użytkownika, podając jego identyfikator użytkownika i nazwę dostawcy.

CVE-2026-3431
Krytyczne

W wersjach SimStudio poniżej 0.5.74, punkty końcowe narzędzia MongoDB akceptują dowolne parametry połączenia od wywołującego bez uwierzytelnienia lub ograniczeń dotyczących hosta. Atakujący może wykorzystać te punkty końcowe do połączenia się z dowolną dostępną instancją MongoDB i przeprowadzenia nieautoryzowanych operacji, w tym odczytu, modyfikacji i usuwania danych.

CVE-2025-14532
Krytyczne

Funkcjonalność przesyłania plików w DobryCMS pozwala nieautoryzowanemu zdalnemu atakującemu na przesyłanie plików dowolnego typu i rozszerzenia bez żadnych ograniczeń, co może prowadzić do zdalnego wykonania kodu.

CVE-2026-2584
Krytyczne

Zidentyfikowano krytyczną podatność typu SQL Injection w module uwierzytelniania systemu. Nieautoryzowany, zdalny atakujący może wykorzystać tę lukę, wysyłając specjalnie przygotowane zapytania SQL przez interfejs logowania.

CVE-2026-3422
Krytyczne

U-Office Force opracowane przez e-Excellence zawiera podatność na niebezpieczną deserializację, która umożliwia nieautoryzowanym zdalnym atakującym wykonanie dowolnego kodu na serwerze poprzez wysyłanie złośliwie skonstruowanej zawartości serializowanej.

CVE-2026-3000
Krytyczne

Agent logowania Windows IDExpert opracowany przez Changing zawiera podatność na zdalne wykonanie kodu, która pozwala nieautoryzowanym zdalnym atakującym na wymuszenie pobrania dowolnych plików DLL z zdalnego źródła i ich wykonanie.

CVE-2026-2999
Krytyczne

Agent logowania Windows IDExpert opracowany przez Changing zawiera podatność na zdalne wykonanie kodu, która pozwala nieautoryzowanym zdalnym atakującym na wymuszenie pobrania i wykonania dowolnych plików wykonywalnych z zdalnego źródła.

CVE-2026-28517
Krytyczne

openDCIM w wersji 23.04 zawiera podatność na wstrzyknięcie poleceń systemowych w pliku report_network_map.php. Aplikacja pobiera parametr konfiguracyjny 'dot' z bazy danych i przekazuje go bez walidacji do funkcji exec().

CVE-2026-28411
Krytyczne

WeGIA to menedżer stron internetowych dla instytucji charytatywnych. Przed wersją 3.6.5, niebezpieczne użycie funkcji `extract()` na superglobalnej tablicy `$_REQUEST` pozwalało nieautoryzowanemu atakującemu na nadpisanie lokalnych zmiennych w wielu skryptach PHP.

CVE-2026-28409
Krytyczne

WeGIA to menedżer internetowy dla instytucji charytatywnych. Przed wersją 3.6.5 występowała krytyczna podatność na zdalne wykonanie kodu (RCE) w funkcjonalności przywracania bazy danych aplikacji WeGIA, umożliwiająca atakującemu z dostępem administracyjnym wykonanie dowolnych poleceń systemowych na serwerze.

CVE-2026-28408
Krytyczne

WeGIA to menedżer internetowy dla instytucji charytatywnych. W wersjach przed 3.6.5 skrypt w adicionar_tipo_docs_atendido.php nie przechodzi przez centralny kontroler projektu i nie ma własnych mechanizmów uwierzytelniania oraz kontroli uprawnień, co umożliwia złośliwym użytkownikom dostęp do funkcji zastrzeżonych dla pracowników.

CVE-2026-28268
Krytyczne

Vikunja to platforma do zarządzania zadaniami, która ma podatność w mechanizmie resetowania haseł w wersjach przed 2.1.0. Występuje błąd logiki biznesowej, który pozwala na nieograniczone ponowne użycie tokenów resetujących hasło.

CVE-2026-28231
Krytyczne

Biblioteka pillow_heif, używana do pracy z obrazami HEIF, zawiera błąd przepełnienia całkowitego w walidacji bufora, który pozwala atakującemu na ominięcie kontroli granic poprzez podanie dużych wymiarów obrazu. Może to prowadzić do ujawnienia informacji lub awarii procesu.

CVE-2026-2880
Krytyczne

Podatność w @fastify/middie w wersjach poniżej 9.2.0 może prowadzić do ominięcia uwierzytelniania/autoryzacji przy użyciu middleware o zasięgu ścieżki. W przypadku włączonych opcji normalizacji routera Fastify, odpowiednio skonstruowane ścieżki żądań mogą omijać kontrole middleware.

PoprzedniaStrona 159 z 562Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS