Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-20407
Krytyczne

W sterowniku WLAN STA występuje możliwe podniesienie uprawnień z powodu braku sprawdzenia granic. Może to prowadzić do lokalnego podniesienia uprawnień, wymagając jedynie uprawnień użytkownika do wykonania ataku.

CVE-2025-15030
Krytyczne

Wtyczka User Profile Builder dla WordPressa w wersjach przed 3.15.2 nie posiada odpowiedniego procesu resetowania hasła, co pozwala na zresetowanie hasła dowolnego użytkownika, w tym administratora, poprzez kilka nieautoryzowanych żądań, znając jedynie jego nazwę użytkownika.

CVE-2026-25202
Krytyczne

Konto bazy danych oraz hasło są zakodowane na stałe, co umożliwia logowanie się przy użyciu tego konta i manipulowanie bazą danych w serwerze MagicInfo9. Problem ten dotyczy serwera MagicINFO 9 w wersjach poniżej 21.1090.1.

CVE-2026-25200
Krytyczne

Podatność w serwerze MagicInfo9 umożliwia autoryzowanym użytkownikom przesyłanie plików HTML bez uwierzytelnienia, co prowadzi do ataków typu Stored XSS. Może to skutkować przejęciem konta użytkownika.

CVE-2020-37056
Krytyczne

Crystal Shard http-protection w wersji 0.2.0 zawiera podatność na fałszowanie adresów IP, która pozwala atakującym na ominięcie zabezpieczeń middleware poprzez manipulację nagłówkami żądań. Atakujący mogą ustawić stałe wartości IP w nagłówkach X-Forwarded-For, X-Client-IP i X-Real-IP, aby obejść kontrole bezpieczeństwa.

CVE-2020-37052
Krytyczne

AirControl w wersji 1.4.2 zawiera podatność na zdalne wykonanie kodu przed uwierzytelnieniem, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych poleceń systemowych poprzez wstrzykiwanie złośliwych wyrażeń Java. Atakujący mogą wykorzystać punkt końcowy /.seam, tworząc specjalnie skonstruowany adres URL z osadzonymi wyrażeniami Java.

CVE-2020-37050
Krytyczne

Quick Player w wersji 1.3 zawiera podatność na przepełnienie bufora, która umożliwia atakującym wykonanie dowolnego kodu poprzez przygotowanie złośliwego pliku .m3l z odpowiednio skonstruowanym ładunkiem. Atakujący mogą wywołać tę podatność, ładując specjalnie przygotowany plik za pomocą mechanizmu ładowania plików aplikacji.

CVE-2020-37043
Krytyczne

10-Strike Bandwidth Monitor w wersji 3.9 zawiera podatność na przepełnienie bufora, która pozwala atakującym na obejście zabezpieczeń SafeSEH, ASLR i DEP poprzez starannie przygotowany ładunek. Atakujący mogą wykorzystać tę podatność, wysyłając złośliwy ładunek do pola wejściowego klucza rejestracyjnego aplikacji, co umożliwia zdalne wykonanie kodu i uruchamianie dowolnych poleceń systemowych.

CVE-2020-37027
Krytyczne

Sickbeard alpha zawiera podatność na zdalne wstrzykiwanie poleceń, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych poleceń poprzez konfigurację dodatkowych skryptów. Atakujący mogą ustawić złośliwe polecenia w polu dodatkowych skryptów i wywołać ich przetwarzanie, co prowadzi do wykonania zdalnego kodu na podatnej instalacji Sickbeard.

CVE-2019-25232
Krytyczne

NetPCLinker w wersji 1.0.0.0 zawiera podatność typu buffer overflow w polu DNS/IP w panelu sterowania klientów, co pozwala atakującym na wykonanie dowolnego kodu. Atakujący mogą przygotować złośliwy ładunek w polu DNS/IP, aby nadpisać obsługiwacze SEH i wykonać kod podczas dodawania nowego klienta.

CVE-2026-25141
Krytyczne

Orval generuje typowo bezpieczne klienty JS (TypeScript) z dowolnej ważnej specyfikacji OpenAPI v3 lub Swagger v2. Wersje od 7.19.0 do 7.21.0 oraz 8.2.0 mają niekompletną poprawkę dla CVE-2026-23947, co pozwala na wstrzyknięcie kodu przy użyciu ograniczonego zestawu znaków.

CVE-2026-25130
Krytyczne

Framework Cybersecurity AI (CAI) w wersjach do 0.5.10 zawiera wiele podatności na wstrzykiwanie argumentów w swoich funkcjach. Użytkownik może wprowadzać dane, które są bezpośrednio przekazywane do poleceń powłoki, co pozwala atakującym na wykonywanie dowolnych poleceń na systemie gospodarza.

CVE-2025-51958
Krytyczne

Podatność CVE-2025-51958 dotyczy wtyczki aelsantex runcommand dla DokuWiki, która umożliwia nieautoryzowanym atakującym wykonywanie dowolnych poleceń systemowych poprzez plik lib/plugins/runcommand/postaction.php.

CVE-2026-1699
Krytyczne

W repozytorium Eclipse Theia występuje podatność związana z używaniem wyzwalacza pull_request_target w workflow GitHub Actions, co pozwala na wykonanie nieautoryzowanego kodu z nieznanych pull requestów. Atakujący może uzyskać dostęp do sekretów repozytorium oraz tokena GITHUB_TOKEN z szerokimi uprawnieniami.

CVE-2026-0963
Krytyczne

W komponentach API Endpoint operacji plików w Crafty Controller występuje podatność na neutralizację danych wejściowych, która pozwala zdalnemu, uwierzytelnionemu atakującemu na manipulację plikami oraz zdalne wykonanie kodu poprzez atak typu path traversal.

CVE-2026-1340
Krytyczne

W Ivanti Endpoint Manager Mobile występuje podatność na wstrzykiwanie kodu, która umożliwia atakującym zdalne wykonanie kodu bez uwierzytelnienia. Ta luka może być wykorzystana do przejęcia kontroli nad systemem.

CVE-2026-22806
Krytyczne

vCluster Platform, która zarządza wirtualnymi klastrami i wieloma najemcami, ma podatność przed wersjami 4.6.0, 4.5.4, 4.4.2 i 4.3.10, gdzie ograniczony zakres klucza dostępu może być obejściem, co pozwala na dostęp do zasobów poza nim. Użytkownik nie może jednak uzyskać dostępu do zasobów, które są niedostępne dla właściciela klucza dostępu.

CVE-2025-69929
Krytyczne

Podatność w N3uron Web User Interface w wersji 1.21.7-240207.1047 umożliwia zdalnemu atakującemu eskalację uprawnień poprzez haszowanie haseł po stronie klienta przy użyciu algorytmu MD5 nad przewidywalnym formatem ciągu znaków.

CVE-2026-1453
Krytyczne

Brak uwierzytelnienia dla krytycznej funkcji w serii enkoderów KiloView może pozwolić nieautoryzowanemu atakującemu na tworzenie lub usuwanie kont administratorów. Ta podatność może dać atakującemu pełną kontrolę administracyjną nad produktem.

CVE-2026-24054
Krytyczne

Kata Containers to projekt open source, który koncentruje się na standardowej implementacji lekkich maszyn wirtualnych działających jak kontenery. W wersjach przed 3.26.0, w przypadku uszkodzonego obrazu kontenera lub braku warstw, containerd przechodzi do montowania pustego katalogu snapshottera, co prowadzi do błędów na poziomie systemu plików na hoście.

PoprzedniaStrona 183 z 562Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS