Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-25560
Krytyczne

W wersjach WeKan przed 8.19 występuje podatność na wstrzykiwanie filtrów LDAP w procesie uwierzytelniania LDAP. Wprowadzone przez użytkownika dane dotyczące nazwy użytkownika są włączane do filtrów wyszukiwania LDAP oraz wartości związanych z DN bez odpowiedniego zabezpieczenia, co umożliwia atakującemu manipulację zapytaniami LDAP podczas uwierzytelniania.

CVE-2020-37162
Krytyczne

Wedding Slideshow Studio w wersji 1.36 zawiera podatność na przepełnienie bufora w polu wprowadzania klucza rejestracyjnego, co pozwala atakującym na wykonanie dowolnego kodu poprzez nadpisanie pamięci. Atakujący mogą stworzyć złośliwy ładunek o wielkości 1608 bajtów, aby wywołać przepełnienie bufora oparte na stosie.

CVE-2020-37161
Krytyczne

Wedding Slideshow Studio w wersji 1.36 zawiera podatność na przepełnienie bufora, która umożliwia atakującym wykonanie dowolnego kodu poprzez nadpisanie pola nazwy rejestracyjnej złośliwym ładunkiem. Atakujący mogą stworzyć specjalnie zaprojektowany ładunek, aby wywołać zdalne wykonanie kodu.

CVE-2020-37159
Krytyczne

Parallaxis Cuckoo Clock 5.0 zawiera podatność na przepełnienie bufora, która pozwala atakującym na wykonanie dowolnego kodu poprzez nadpisanie rejestrów pamięci w funkcji planowania alarmów. Atakujący mogą stworzyć złośliwy ładunek przekraczający 260 bajtów, co umożliwia wykonanie shellcode'a.

CVE-2020-37095
Krytyczne

Klient uwierzytelniania Cyberoam w wersji 2.1.2.7 zawiera podatność na przepełnienie bufora, która umożliwia zdalnym atakującym wykonanie dowolnego kodu poprzez nadpisanie pamięci Structured Exception Handler (SEH). Atakujący mogą przygotować złośliwe dane wejściowe w polu 'Adres serwera Cyberoam', co prowadzi do uruchomienia powłoki TCP na porcie 1337 z dostępem na poziomie systemu.

CVE-2026-25804
Krytyczne

Antrea to rozwiązanie sieciowe dla Kubernetes, które przed wersjami 2.3.2 i 2.4.3 miało błąd przepełnienia arytmetycznego w systemie przypisywania priorytetów polityki sieciowej. Błąd ten prowadził do nieprawidłowych obliczeń priorytetów OpenFlow przy obsłudze dużej liczby polityk o różnych wartościach priorytetów.

CVE-2026-25803
Krytyczne

3DP-MANAGER to generator przychodzący dla 3x-ui. W wersji 2.0.1 i wcześniejszych aplikacja automatycznie tworzy konto administracyjne z domyślnymi danymi logowania (admin/admin) podczas pierwszej inicjalizacji.

CVE-2026-25763
Krytyczne

OpenProject to oprogramowanie do zarządzania projektami, które przed wersjami 16.6.7 i 17.0.3 miało podatność na zapis dowolnych plików w punkcie końcowym zmian repozytorium. Atakujący mógł wykorzystać specjalnie skonstruowaną wartość rev, aby wstrzyknąć opcje wiersza poleceń git log, co prowadziło do zapisu plików w wybranej przez niego lokalizacji.

CVE-2026-25544
Krytyczne

Payload to darmowy i otwarty system zarządzania treścią bez interfejsu graficznego. Przed wersją 3.73.0, podczas zapytań do pól JSON lub richText, dane wejściowe użytkownika były bezpośrednio osadzane w SQL bez odpowiedniego zabezpieczenia, co umożliwiało ataki typu blind SQL injection.

CVE-2026-1731
Krytyczne

BeyondTrust Remote Support (RS) oraz niektóre starsze wersje Privileged Remote Access (PRA) zawierają krytyczną podatność na zdalne wykonanie kodu przed uwierzytelnieniem. Atakujący zdalny, nieposiadający uprawnień, może wysyłać specjalnie przygotowane żądania, co pozwala na wykonanie poleceń systemu operacyjnego w kontekście użytkownika witryny.

CVE-2026-25632
Krytyczne

EPyT-Flow to pakiet Pythona, który umożliwia łatwe generowanie danych scenariuszy hydraulicznych i jakości wody w sieciach dystrybucji wody. W wersjach przed 0.16.1, REST API EPyT-Flow parsuje kontrolowane przez atakującego ciała żądań JSON, co może prowadzić do wykonania poleceń systemowych podczas analizy JSON.

CVE-2026-25592
Krytyczne

W SDK Semantic Kernel wystąpiła podatność na zapis dowolnych plików, zidentyfikowana w SessionsPythonPlugin przed wersją 1.71.0. Problem został naprawiony w wersji Microsoft.SemanticKernel.Core 1.71.0.

CVE-2026-25643
Krytyczne

Frigate to rejestrator wideo (NVR) z lokalnym wykrywaniem obiektów w czasie rzeczywistym dla kamer IP. Przed wersją 0.16.4 zidentyfikowano krytyczną podatność na zdalne wykonanie poleceń (RCE) w integracji Frigate z go2rtc, która pozwala na bezpośrednią iniekcję poleceń systemowych poprzez dyrektywę exec: w konfiguracji strumienia wideo.

CVE-2026-25641
Krytyczne

SandboxJS to biblioteka do sandboxingu JavaScript. W wersjach przed 0.8.29 występuje podatność na ucieczkę z sandboxa spowodowana niezgodnością między kluczem używanym do walidacji a kluczem używanym do dostępu do właściwości.

CVE-2026-25587
Krytyczne

SandboxJS to biblioteka do sandboxingu JavaScript. Przed wersją 0.8.29, prototyp Map jest w SAFE_PROTOYPES, co pozwala na jego uzyskanie przez Map.prototype. Przez nadpisanie Map.prototype.has możliwe jest wydostanie się z sandboxa.

CVE-2026-25586
Krytyczne

SandboxJS to biblioteka do sandboxingu JavaScript. Przed wersją 0.8.29 istniała możliwość ucieczki z sandboxa poprzez nadpisanie metody hasOwnProperty na obiekcie sandboxowym, co dezaktywowało egzekwowanie białej listy prototypów w ścieżce dostępu do właściwości.

CVE-2026-25520
Krytyczne

SandboxJS to biblioteka do sandboxingu JavaScript. W wersjach przed 0.8.29 wartości zwracane przez funkcje nie były odpowiednio zabezpieczone, co pozwalało na uzyskanie dostępu do konstruktora funkcji hosta i wykonanie dowolnego kodu poza sandboxem.

CVE-2026-1709
KrytyczneEPSS 92%

W Keylime od wersji 7.12.0 brakuje wymuszenia uwierzytelniania TLS po stronie klienta. Ta luka umożliwia nieuwierzytelnionym klientom z dostępem sieciowym wykonywanie operacji administracyjnych, takich jak wyświetlanie agentów, pobieranie publicznych danych TPM oraz usuwanie agentów, bez konieczności przedstawienia certyfikatu klienta.

CVE-2026-25753
Krytyczne

PlaciPy to system zarządzania miejscami przeznaczony dla instytucji edukacyjnych. W wersji 1.0.0 aplikacja używa wbudowanego, statycznego domyślnego hasła dla wszystkich nowo utworzonych kont studentów, co prowadzi do masowego przejęcia kont.

CVE-2026-25752
Krytyczne

FUXA to oprogramowanie do wizualizacji procesów (SCADA/HMI/Dashboard) oparte na sieci web. Wykryto lukę w autoryzacji, która pozwala nieautoryzowanemu, zdalnemu atakującemu na modyfikację tagów urządzeń za pomocą WebSockets, omijając kontrolę dostępu opartą na rolach.

PoprzedniaStrona 178 z 562Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS