Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-27028
Krytyczne

Punkty końcowe WebSocket nie mają odpowiednich mechanizmów uwierzytelniania, co umożliwia atakującym podszywanie się pod stacje i manipulowanie danymi wysyłanymi do backendu. Atakujący bez uwierzytelnienia może połączyć się z punktem końcowym OCPP WebSocket, używając znanego lub odkrytego identyfikatora stacji ładowania, a następnie wydawać lub odbierać polecenia OCPP jako legalna ładowarka.

CVE-2026-24663
Krytyczne

W wersji 1.12.1 i wcześniejszych XWEB Pro występuje podatność na wstrzykiwanie poleceń systemowych, która umożliwia nieautoryzowanemu atakującemu zdalne wykonanie kodu na systemie poprzez wysłanie spreparowanego żądania do trasy instalacji bibliotek i wstrzyknięcie złośliwego wejścia do ciała żądania.

CVE-2026-21718
Krytyczne

W wersji 1.12.1 i wcześniejszych aplikacji Copeland XWEB Pro występuje luka umożliwiająca ominięcie wymagań dotyczących uwierzytelniania, co pozwala atakującym na wykonanie kodu przed uwierzytelnieniem na systemie.

CVE-2026-27772
Krytyczne

Punkty końcowe WebSocket nie mają odpowiednich mechanizmów uwierzytelniania, co umożliwia atakującym podszywanie się pod stacje i manipulowanie danymi wysyłanymi do zaplecza. Atakujący bez uwierzytelnienia może połączyć się z punktem końcowym OCPP WebSocket, używając znanego identyfikatora stacji ładowania, a następnie wydawać lub odbierać polecenia OCPP jako legalna ładowarka.

CVE-2026-27767
Krytyczne

Punkty końcowe WebSocket nie mają odpowiednich mechanizmów uwierzytelniania, co umożliwia atakującym podszywanie się pod stacje i manipulowanie danymi wysyłanymi do zaplecza. Atakujący bez uwierzytelnienia może połączyć się z punktem końcowym OCPP WebSocket, używając znanego identyfikatora stacji ładowania, a następnie wydawać lub odbierać polecenia OCPP jako legalna ładowarka.

CVE-2026-25851
Krytyczne

Punkty końcowe WebSocket nie mają odpowiednich mechanizmów uwierzytelniania, co umożliwia atakującym podszywanie się pod stacje i manipulowanie danymi wysyłanymi do zaplecza. Atakujący bez uwierzytelnienia może połączyć się z punktem końcowym OCPP WebSocket, używając znanego lub odkrytego identyfikatora stacji ładowania.

CVE-2026-24731
Krytyczne

Punkty końcowe WebSocket nie mają odpowiednich mechanizmów uwierzytelniania, co umożliwia atakującym podszywanie się pod stacje i manipulowanie danymi wysyłanymi do backendu. Atakujący bez uwierzytelnienia może połączyć się z punktem końcowym OCPP WebSocket, używając znanego lub odkrytego identyfikatora stacji ładowania, a następnie wydawać lub odbierać polecenia OCPP jako legalna ładowarka.

CVE-2026-20781
Krytyczne

Punkty końcowe WebSocket nie mają odpowiednich mechanizmów uwierzytelniania, co umożliwia atakującym podszywanie się pod stacje i manipulowanie danymi wysyłanymi do zaplecza. Nieautoryzowany atakujący może połączyć się z punktem końcowym OCPP WebSocket, używając znanego lub odkrytego identyfikatora stacji ładowania, a następnie wydawać lub odbierać polecenia OCPP jako legalna ładowarka.

CVE-2026-28215
Krytyczne

Hoppscotch to otwarte środowisko do tworzenia API. Przed wersją 2026.2.0, nieautoryzowany atakujący mógł nadpisać całą konfigurację infrastruktury samodzielnie hostowanej instancji Hoppscotch, w tym dane uwierzytelniające dostawców OAuth i ustawienia SMTP, wysyłając pojedyncze żądanie HTTP POST bez autoryzacji.

CVE-2026-28213
Krytyczne

EverShop to platforma eCommerce oparta na TypeScript. W wersjach przed 2.1.1 występuje podatność w funkcji 'Zapomniałeś hasła', która zwraca token resetowania hasła w odpowiedzi API, gdy podany jest adres e-mail. To umożliwia atakującemu przejęcie powiązanego konta.

CVE-2026-22207
Krytyczne

OpenViking w wersjach do 0.1.18, przed commit 0251c70, zawiera lukę w kontroli dostępu, która pozwala nieautoryzowanym atakującym uzyskać uprawnienia ROOT, gdy konfiguracja root_api_key jest pominięta. Atakujący mogą wysyłać żądania do chronionych punktów końcowych bez nagłówków uwierzytelniających, aby uzyskać dostęp do funkcji administracyjnych, w tym zarządzania kontami, operacji na zasobach i konfiguracji systemu.

CVE-2026-27510
Krytyczne

Oprogramowanie Unitree Go2 w wersjach 1.1.7 do 1.1.11, używane z aplikacją Android Unitree Go2, jest podatne na zdalne wykonanie kodu z powodu braku ochrony integralności i walidacji programów tworzonych przez użytkowników. Aplikacja przechowuje programy w lokalnej bazie danych SQLite i przesyła zawartość programu do robota, który wykonuje dostarczony kod Python bez weryfikacji.

CVE-2025-50857
Krytyczne

ZenTaoPMS w wersjach od 18.11 do 21.6.beta jest podatny na atak typu Directory Traversal w pliku /module/ai/control.php. Umożliwia to atakującym wykonanie dowolnego kodu poprzez odpowiednio przygotowane przesłanie pliku.

CVE-2026-27975
Krytyczne

Ajenti to modułowy panel administracyjny dla serwerów Linux i BSD. Przed wersją 2.2.13, nieautoryzowany użytkownik mógł uzyskać dostęp do serwera i wykonać dowolny kod na tym serwerze.

CVE-2026-27966
Krytyczne

Langflow to narzędzie do budowania i wdrażania agentów oraz przepływów pracy opartych na AI. W wersjach przed 1.8.0 węzeł CSV Agent w Langflow ma na stałe ustawioną opcję `allow_dangerous_code=True`, co umożliwia atakującym wykonywanie dowolnych poleceń Python i OS na serwerze poprzez wstrzykiwanie poleceń, co prowadzi do pełnego zdalnego wykonania kodu (RCE). Wersja 1.8.0 naprawia ten problem.

CVE-2026-27965
Krytyczne

Vitess to system klastrowania baz danych dla poziomego skalowania MySQL. W wersjach przed 23.0.3 i 22.0.4, każda osoba z dostępem do lokalizacji przechowywania kopii zapasowych (np. bucket S3) może manipulować plikami manifestu kopii zapasowej, co pozwala na wykonanie dowolnego kodu podczas przywracania tej kopii zapasowej.

CVE-2026-27941
Krytyczne

OpenLIT to otwartoźródłowa platforma do inżynierii AI. W wersjach przed 1.37.1, kilka workflow GitHub Actions w repozytorium OpenLIT używało zdarzenia `pull_request_target`, co pozwalało na wykonywanie nieufnego kodu z forkowanych pull requestów z uprawnieniami repozytorium bazowego.

CVE-2026-27812
Krytyczne

Sub2API to platforma bramy API AI, która zarządza limitami API z subskrypcji produktów AI. W wersjach przed 0.1.85 występuje podatność na manipulację linkiem resetowania hasła, co pozwala atakującym na wstrzyknięcie własnej domeny do linku, co może prowadzić do przejęcia konta.

CVE-2026-27809
Krytyczne

W pakiecie psd-tools, używanym do pracy z plikami PSD Adobe Photoshop, przed wersją 1.12.2 występowała podatność związana z nieprawidłowymi danymi obrazu skompresowanymi RLE. W przypadku wystąpienia błędu ValueError podczas dekodowania, funkcja psd.composite() oraz eksport w psd-tools mogły ulegać awarii.

CVE-2026-27804
Krytyczne

Parse Server przed wersjami 8.6.3 i 9.1.1-alpha.4 jest podatny na atak, w którym nieautoryzowany napastnik może sfałszować token uwierzytelniający Google z algorytmem 'alg: "none"', co pozwala na logowanie się jako dowolny użytkownik powiązany z kontem Google bez znajomości jego danych uwierzytelniających.

PoprzedniaStrona 161 z 562Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS