Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2020-37070
Krytyczne

CloudMe w wersji 1.11.2 zawiera podatność na przepełnienie bufora, która umożliwia zdalnym atakującym wykonanie dowolnego kodu poprzez spreparowane pakiety sieciowe. Atakujący mogą wykorzystać tę podatność, wysyłając specjalnie przygotowany ładunek do usługi CloudMe działającej na porcie 8888.

CVE-2020-37069
Krytyczne

Konica Minolta FTP Utility w wersji 1.0 zawiera podatność na przepełnienie bufora w komendzie NLST, co pozwala atakującym na nadpisanie rejestrów systemowych. Atakujący mogą wysłać zbyt duży bufor składający się z 1500 znaków 'A', co prowadzi do awarii serwera FTP i potencjalnego wykonania nieautoryzowanego kodu.

CVE-2020-37068
Krytyczne

Konica Minolta FTP Utility 1.0 zawiera podatność na przepełnienie bufora w komendzie LIST, która pozwala atakującym na nadpisanie rejestrów systemowych. Atakujący mogą wysłać zbyt duży bufor składający się z 1500 znaków 'A', co może spowodować awarię serwera FTP oraz potencjalne wykonanie nieautoryzowanego kodu.

CVE-2020-37067
Krytyczne

Serwer FTP Filetto w wersji 1.0 zawiera podatność na atak typu denial of service w przetwarzaniu komendy FEAT, co pozwala atakującym na zablokowanie usługi. Atakujący mogą wysłać zbyt dużą komendę FEAT o długości 11 008 bajtów, co prowadzi do przepełnienia bufora i zakończenia działania usługi FTP.

CVE-2020-37066
Krytyczne

GoldWave 5.70 zawiera podatność na przepełnienie bufora, która pozwala atakującym na wykonanie dowolnego kodu poprzez przygotowanie złośliwego wejścia w oknie dialogowym Otwórz plik URL. Atakujący mogą stworzyć specjalnie przygotowany plik tekstowy z kodem powłoki zakodowanym w Unicode, aby wywołać przepełnienie stosu i wykonać polecenia po otwarciu pliku.

CVE-2020-37065
Krytyczne

Wersja 2.6 StreamRipper32 zawiera podatność na przepełnienie bufora w sekcji Stacja/Piosenka, która pozwala atakującym na nadpisanie pamięci poprzez manipulację wejściem SongPattern. Atakujący mogą stworzyć złośliwy ładunek przekraczający 256 bajtów, co potencjalnie umożliwia wykonanie dowolnego kodu i kompromitację aplikacji.

CVE-2025-62799
Krytyczne

Fast DDS to implementacja standardu DDS (Data Distribution Service) w C++. W wersjach przed 3.4.1, 3.3.1 i 2.6.11 występuje przepełnienie bufora na stercie w ścieżce odbioru DATA_FRAG. Nieautoryzowany nadawca może przesłać złośliwy pakiet RTPS DATA_FRAG, co prowadzi do awarii systemu (DoS) i potencjalnie umożliwia korupcję pamięci.

CVE-2025-10878
Krytyczne

W funkcjonalności logowania aplikacji Fikir Odalari AdminPando w wersji 1.0.1 przed 2026-01-26 występuje podatność na wstrzykiwanie SQL. Parametry nazwy użytkownika i hasła są podatne na atak, co pozwala nieautoryzowanym atakującym na całkowite ominięcie procesu uwierzytelniania.

CVE-2026-25241
Krytyczne

W frameworku PEAR przed wersją 1.33.0 występuje nieautoryzowana podatność na wstrzykiwanie SQL w punkcie końcowym /get/<package>/<version>, co pozwala zdalnym atakującym na wykonanie dowolnych zapytań SQL poprzez odpowiednio skonstruowaną wersję pakietu. Problem został naprawiony w wersji 1.33.0.

CVE-2026-25240
Krytyczne

W frameworku PEAR, przed wersją 1.33.0, występowała podatność na wstrzyknięcie SQL w metodzie user::maintains(), gdy filtry ról były przekazywane jako tablica i interpolowane w klauzuli IN (...). Problem został naprawiony w wersji 1.33.0.

CVE-2026-25238
Krytyczne

PEAR to framework i system dystrybucji komponentów PHP. Przed wersją 1.33.0 występowała podatność na wstrzykiwanie SQL w procesie usuwania subskrypcji błędów, co mogło pozwolić atakującym na wstrzyknięcie SQL za pomocą spreparowanej wartości e-mail.

CVE-2026-25237
Krytyczne

PEAR to framework i system dystrybucji komponentów PHP. Przed wersją 1.33.0, użycie preg_replace() z modyfikatorem /e w obsłudze e-maili dotyczących aktualizacji błędów może umożliwić wykonanie kodu PHP, jeśli do ocenianego zamiennika dotrze treść kontrolowana przez atakującego. Problem został naprawiony w wersji 1.33.0.

CVE-2026-25236
Krytyczne

W wersjach przed 1.33.0 frameworka PEAR występuje ryzyko wstrzyknięcia SQL w zapytaniach karma z powodu niebezpiecznej substytucji literałów w liście IN (...). Problem ten został naprawiony w wersji 1.33.0.

CVE-2026-25234
Krytyczne

W frameworku PEAR, przed wersją 1.33.0, występowała podatność na wstrzyknięcie SQL podczas usuwania kategorii. Atakujący z dostępem do workflow zarządzania kategoriami mógł wstrzyknąć SQL za pomocą identyfikatora kategorii.

CVE-2026-25233
Krytyczne

W wersjach przed 1.33.0 frameworka PEAR występuje błąd logiczny w sprawdzaniu ról, który pozwala osobom niebędącym głównymi opiekunami na tworzenie, aktualizowanie lub usuwanie map drogowych. Problem ten został naprawiony w wersji 1.33.0.

CVE-2025-70841
Krytyczne

Dokans Multi-Tenancy Based eCommerce Platform SaaS w wersji 3.9.2 pozwala nieautoryzowanym zdalnym atakującym na uzyskanie wrażliwych danych konfiguracyjnych aplikacji poprzez bezpośrednie żądanie do pliku /script/.env. Ujawniony plik zawiera klucz szyfrowania aplikacji Laravel (APP_KEY), dane uwierzytelniające bazy danych, dane uwierzytelniające SMTP/SendGrid oraz wewnętrzne parametry konfiguracyjne.

CVE-2025-69983
Krytyczne

FUXA w wersji 1.2.7 umożliwia zdalne wykonanie kodu (RCE) poprzez funkcjonalność importu projektów. Aplikacja nieprawidłowo oczyszcza ani nie izoluje skryptów dostarczonych przez użytkowników w importowanych plikach projektów.

CVE-2025-69981
Krytyczne

FUXA w wersji 1.2.7 zawiera podatność na nieograniczone przesyłanie plików w punkcie końcowym API `/api/upload`. Brak mechanizmów uwierzytelniania pozwala nieautoryzowanym zdalnym atakującym na przesyłanie dowolnych plików.

CVE-2025-69971
Krytyczne

FUXA w wersji 1.2.7 zawiera podatność na twardo zakodowane poświadczenia w pliku server/api/jwt-helper.js. Aplikacja używa twardo zakodowanego klucza tajnego do podpisywania i weryfikacji tokenów JWT, co pozwala zdalnym atakującym na fałszowanie ważnych tokenów administratora i ominięcie uwierzytelnienia.

CVE-2025-69970
Krytyczne

FUXA w wersji 1.2.7 zawiera podatność na niebezpieczną domyślną konfigurację w pliku server/settings.default.js. Flaga 'secureEnabled' jest domyślnie zakomentowana, co powoduje, że aplikacja uruchamia się z wyłączoną autoryzacją.

PoprzedniaStrona 181 z 562Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS