Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-27755
Krytyczne

Oprogramowanie układowe SODOLA SL902-SWTGW124AS w wersjach do 200.1.20 zawiera słabą podatność na generowanie identyfikatorów sesji, co pozwala atakującym na fałszowanie uwierzytelnionych sesji poprzez obliczanie przewidywalnych ciasteczek opartych na MD5. Atakujący, którzy znają lub zgadują ważne dane logowania, mogą obliczyć identyfikator sesji offline i ominąć proces uwierzytelniania.

CVE-2026-27751
Krytyczne

Oprogramowanie układowe SODOLA SL902-SWTGW124AS w wersjach do 200.1.20 zawiera podatność na domyślne dane uwierzytelniające, która umożliwia zdalnym atakującym uzyskanie dostępu administracyjnego do interfejsu zarządzania. Atakujący mogą uwierzytelnić się za pomocą wbudowanych domyślnych danych bez wymogu zmiany hasła, co pozwala na pełną kontrolę administracyjną nad urządzeniem.

CVE-2026-2293
Krytyczne

Aplikacja NestJS korzystająca z @nestjs/platform-fastify może pozwolić na ominięcie middleware uwierzytelniania/autoryzacji, gdy opcje normalizacji ścieżek Fastify są włączone. Podatność dotyczy NestJS w wersji 11.1.13.

CVE-2026-2750
Krytyczne

Podatność CVE-2026-2750 dotyczy niewłaściwej walidacji danych wejściowych w module Centreon Open Tickets na Central Server w systemie Linux. Problem ten dotyczy wersji Centreon Open Tickets przed 25.10, 24.10 oraz 24.04.

CVE-2026-2749
Krytyczne

Podatność w module Centreon Open Tickets na Centralnym Serwerze w systemie Linux. Problem dotyczy wersji przed 25.10.3, 24.10.8 oraz 24.04.7.

CVE-2025-11252
Krytyczne

W podatności CVE-2025-11252 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do możliwości ataku typu SQL Injection w aplikacji Windesk.Fm firmy Signum Technology Promotion and Training Inc. Problem dotyczy wersji przed 2.3.4.

CVE-2026-24352
Krytyczne

PluXml CMS pozwala na ustawienie identyfikatora sesji użytkownika przed uwierzytelnieniem, co umożliwia atakującemu przejęcie sesji po uwierzytelnieniu. Identyfikator sesji pozostaje niezmienny po uwierzytelnieniu, co stwarza ryzyko przejęcia sesji przez osobę trzecią.

CVE-2025-11251
Krytyczne

W podatności CVE-2025-11251 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w platformie e-commerce firmy Dayneks Software Industry and Trade Inc. Problem ten dotyczy platformy e-commerce do 27 lutego 2026 roku.

CVE-2026-21660
Krytyczne

W wersji 10.22 i wcześniejszych oprogramowania Frick Controls Quantum HD występuje podatność związana z twardo zakodowanymi danymi logowania do e-maila, które są przechowywane w postaci niezaszyfrowanej. Może to prowadzić do nieautoryzowanego dostępu oraz ujawnienia wrażliwych informacji.

CVE-2026-21659
Krytyczne

Podatność CVE-2026-21659 dotyczy braku uwierzytelnienia, co pozwala na zdalne wykonanie kodu oraz ujawnienie informacji poprzez lokalne włączenie pliku (LFI) w urządzeniach Johnson Controls Frick Controls Quantum HD. Atakujący bez uwierzytelnienia może wykonać dowolny kod na podatnym urządzeniu, co prowadzi do pełnego kompromitacji systemu.

CVE-2026-2251
Krytyczne

Podatność CVE-2026-2251 dotyczy niewłaściwego ograniczenia ścieżki do zastrzeżonego katalogu w Xerox FreeFlow Core, co umożliwia nieautoryzowane przechodzenie przez ścieżki i prowadzi do zdalnego wykonania kodu (RCE). Problem ten dotyczy wersji Xerox FreeFlow Core do 8.0.7 włącznie.

CVE-2026-21658
Krytyczne

Podatność CVE-2026-21658 dotyczy niewłaściwej kontroli generacji kodu w systemie Johnson Controls Frick Controls Quantum HD, co pozwala na zdalne wykonanie kodu bez uwierzytelnienia. Niewystarczająca walidacja danych wejściowych w niektórych parametrach może prowadzić do nieoczekiwanych działań, które mogą wpłynąć na bezpieczeństwo urządzenia przed dokonaniem uwierzytelnienia.

CVE-2026-21657
Krytyczne

Podatność typu 'Code Injection' w systemie Johnson Controls Frick Controls Quantum HD pozwala na wstrzykiwanie kodu. Niewystarczająca walidacja danych wejściowych w niektórych parametrach może prowadzić do nieoczekiwanych działań, które mogą wpłynąć na bezpieczeństwo urządzenia przed dokonaniem autoryzacji.

CVE-2026-21656
Krytyczne

Podatność CVE-2026-21656 dotyczy niewłaściwej kontroli generowania kodu ('wstrzykiwanie kodu') w systemie Frick Controls Quantum HD firmy Johnson Controls. Niewystarczająca walidacja danych wejściowych w niektórych parametrach może umożliwić nieoczekiwane działania, które mogą wpłynąć na bezpieczeństwo urządzenia przed wystąpieniem autoryzacji.

CVE-2026-21654
Krytyczne

Podatność CVE-2026-21654 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach systemu operacyjnego w urządzeniach Johnson Controls Frick Controls Quantum HD. Niedostateczna walidacja danych wejściowych w niektórych parametrach może umożliwić wykonanie nieoczekiwanych działań, co może wpłynąć na bezpieczeństwo urządzenia przed autoryzacją.

CVE-2025-12981
Krytyczne

Motyw Listee dla WordPressa jest podatny na eskalację uprawnień we wszystkich wersjach do 1.1.6 włącznie. Problem wynika z błędnego sprawdzenia walidacji w funkcji rejestracji użytkowników w wtyczce listee-core, która nieprawidłowo sanitizuje parametr user_role.

CVE-2026-3301
Krytyczne

W urządzeniu Totolink N300RH w wersji 6.1c.1353_B20190305 odkryto lukę bezpieczeństwa w funkcji setWebWlanIdx pliku /cgi-bin/cstecgi.cgi w interfejsie zarządzania przez sieć. Manipulacja argumentem webWlanIdx prowadzi do zdalnego wstrzyknięcia poleceń systemowych.

CVE-2026-28370
Krytyczne

W parserze zapytań w OpenStack Vitrage przed wersjami 12.0.1, 13.0.0, 14.0.0 i 15.0.0, użytkownik mający dostęp do API Vitrage może wywołać wykonanie kodu na hoście usługi Vitrage jako użytkownik, pod którym działa ta usługa. Może to prowadzić do nieautoryzowanego dostępu do hosta i dalszego kompromitowania usługi Vitrage.

CVE-2026-28363
Krytyczne

W OpenClaw przed wersją 2026.2.23 walidacja tools.exec.safeBins dla sortowania mogła być obejściem za pomocą skrótów opcji długich GNU (takich jak --compress-prog) w trybie listy dozwolonej, co prowadziło do ścieżek wykonawczych, które miały wymagać zatwierdzenia. Tylko dokładny ciąg, taki jak --compress-program, był odrzucany.

CVE-2026-24497
Krytyczne

Podatność typu przepełnienie bufora na stosie w systemie ThinkWise firmy SimTech Systems, Inc. umożliwia zdalne włączenie kodu. Problem ten dotyczy wersji ThinkWise od 7 do 23.

PoprzedniaStrona 160 z 562Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS