Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2025-67188
Krytyczne

W TOTOLINK A950RG V4.1.2cu.5204_B20210112 występuje podatność na przepełnienie bufora. Problem dotyczy interfejsu setRadvdCfg w module /lib/cste_modules/ipv6.so, gdzie funkcja nieprawidłowo weryfikuje długość parametru radvdinterfacename kontrolowanego przez użytkownika.

CVE-2025-67187
Krytyczne

Zidentyfikowano podatność typu przepełnienie bufora na stosie w urządzeniu TOTOLINK A950RG V4.1.2cu.5204_B20210112. Problem występuje w interfejsie setIpQosRules w pliku /lib/cste_modules/firewall.so, gdzie parametr comment nie jest odpowiednio walidowany pod kątem długości.

CVE-2025-67186
Krytyczne

TOTOLINK A950RG w wersji V4.1.2cu.5204_B20210112 zawiera podatność na przepełnienie bufora w interfejsie setUrlFilterRules w pliku /lib/cste_modules/firewall.so. Podatność ta występuje, ponieważ parametr `url` nie jest odpowiednio walidowany pod kątem długości, co pozwala zdalnym atakującym na wywołanie przepełnienia bufora.

CVE-2025-63624
Krytyczne

Podatność SQL Injection w platformie monitorowania inteligentnych wodomierzy firmy Shandong Kede Electronics Co., Ltd w wersji 1.0 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu poprzez plik imei_list.aspx.

CVE-2025-61506
Krytyczne

W MediaCrush w wersji do 1.0.1 odkryto problem, który pozwala zdalnym, nieautoryzowanym atakującym na przesyłanie dowolnych plików o dowolnym rozmiarze do punktu końcowego /upload.

CVE-2025-57529
Krytyczne

System zarządzania audytem YouDataSum CPAS w wersjach do 4.9 jest podatny na atak typu SQL Injection w punkcie końcowym /cpasList/findArchiveReportByDah z powodu niewystarczającej walidacji danych wejściowych. Umożliwia to zdalnym, nieautoryzowanym atakującym wykonywanie dowolnych poleceń SQL poprzez odpowiednio skonstruowane dane wejściowe.

CVE-2026-1568
Krytyczne

Wersje Rapid7 InsightVM przed 8.34.0 zawierają problem z weryfikacją podpisu na chmurowym punkcie końcowym Assertion Consumer Service (ACS), co może umożliwić atakującemu uzyskanie nieautoryzowanego dostępu do kont InsightVM skonfigurowanych za pomocą instalacji 'Security Console'. Problem ten prowadzi do pełnego przejęcia konta.

CVE-2025-5319
Krytyczne

Podatność CVE-2025-5319 dotyczy systemu zarządzania efektywnością DIGITA, który jest podatny na atak typu SQL Injection. Problem polega na niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL.

CVE-2026-24465
Krytyczne

W urządzeniach punktów dostępu bezprzewodowego ELECOM występuje podatność na przepełnienie bufora na stosie. Odpowiednio skonstruowany pakiet może prowadzić do wykonania dowolnego kodu.

CVE-2026-24936
Krytyczne

Podatność CVE-2026-24936 dotyczy niewłaściwej walidacji parametrów wejściowych w określonym programie CGI, co pozwala nieautoryzowanemu zdalnemu atakującemu na zapis dowolnych danych do plików na systemie podczas dołączania do domeny AD z ADM. Wykorzystanie tej podatności może prowadzić do nadpisania krytycznych plików systemowych, co skutkuje całkowitym kompromitowaniem systemu.

CVE-2025-67484
Krytyczne

Podatność w MediaWiki związana z plikami programowymi includes/Api/ApiFormatXml.Php. Dotyczy wersji MediaWiki przed 1.39.16, 1.43.6, 1.44.3 oraz 1.45.1.

CVE-2026-25142
Krytyczne

SandboxJS to biblioteka do sandboxingu JavaScript. W wersjach przed 0.8.27, SandboxJS nie ogranicza poprawnie funkcji __lookupGetter__, co może prowadzić do uzyskania prototypów i umożliwić ucieczkę z sandboxa lub zdalne wykonanie kodu.

CVE-2026-25137
Krytyczne

Pakiet Odoo w NixOs, będący systemem ERP i CRM, w wersjach od 21.11 do przed 25.11 oraz 26.05, publicznie udostępnia menedżera bazy danych bez jakiejkolwiek autoryzacji. Umożliwia to nieautoryzowanym osobom usunięcie i pobranie całej bazy danych, w tym plików Odoo.

CVE-2026-23515
Krytyczne

Signal K Server to aplikacja serwerowa działająca jako centralny hub na łodzi. Przed wersją 1.5.0 istniała podatność na wstrzykiwanie poleceń, która pozwalała uwierzytelnionym użytkownikom z uprawnieniami do zapisu na wykonywanie dowolnych poleceń powłoki na serwerze Signal K, gdy wtyczka set-system-time była włączona.

CVE-2026-22778
KrytyczneEPSS 88%

Podatność w vLLM od wersji 0.8.3 do 0.14.0 pozwala na wyciek adresu sterty poprzez wysłanie nieprawidłowego obrazu do endpointu multimodalnego. Wyciek ten redukuje skuteczność ASLR z 4 miliardów do około 8 prób, co ułatwia przeprowadzenie ataku.

CVE-2025-66480
Krytyczne

W Wildfire IM, przed wersją 1.4.3, występuje krytyczna podatność w komponencie im-server związana z funkcjonalnością przesyłania plików. Aplikacja udostępnia punkt końcowy (/fs), który obsługuje przesyłanie plików wieloczęściowych, ale nieprawidłowo sanitizuje nazwę pliku podaną przez użytkownika, co pozwala na ataki.

CVE-2022-50981
Krytyczne

Podatność CVE-2022-50981 pozwala nieautoryzowanemu zdalnemu atakującemu na uzyskanie pełnego dostępu do dotkniętych urządzeń, które są dostarczane bez domyślnego hasła, a jego ustawienie nie jest wymuszane.

CVE-2024-5986
Krytyczne

Podatność w h2oai/h2o-3 w wersji 3.46.0.1 pozwala zdalnym atakującym na zapis dowolnych danych do dowolnego pliku na serwerze. Wykorzystując punkt końcowy `/3/Parse`, atakujący mogą wstrzykiwać kontrolowane przez siebie dane jako nagłówek pustego pliku, który następnie jest eksportowany za pomocą punktu końcowego `/3/Frames/framename/export`.

CVE-2024-2356
Krytyczne

W aplikacji parisneo/lollms-webui występuje podatność typu Local File Inclusion (LFI) w punkcie końcowym '/reinstall_extension', związana z parametrem `name`. Umożliwia ona atakującym wstrzykiwanie złośliwego parametru `name`, co prowadzi do ładowania i wykonywania dowolnych plików Pythona z katalogu przesyłania.

CVE-2026-20418
Krytyczne

W systemie Thread występuje możliwe zapisanie danych poza przydzielonym obszarem pamięci z powodu braku odpowiedniego sprawdzenia granic. Może to prowadzić do zdalnego eskalowania uprawnień bez potrzeby dodatkowych uprawnień wykonawczych.

PoprzedniaStrona 182 z 562Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS