Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2020-37012
Krytyczne

Tea LaTex 1.0 zawiera podatność na zdalne wykonanie kodu, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych poleceń powłoki przez punkt końcowy /api.php. Atakujący mogą stworzyć złośliwy ładunek LaTeX z poleceniami powłoki, które są wykonywane podczas przetwarzania przez akcję API tex2png aplikacji.

CVE-2020-37010
Krytyczne

BearShare Lite w wersji 5.2.5 zawiera podatność na przepełnienie bufora w polu wprowadzania słów kluczowych zaawansowanego wyszukiwania, co umożliwia atakującym wykonanie dowolnego kodu. Atakujący mogą stworzyć specjalnie zaprojektowany ładunek, aby nadpisać rejestr EIP i wykonać shellcode, wklejając złośliwą treść do pola wyszukiwania.

CVE-2020-37002
Krytyczne

Ajenti w wersji 2.1.36 zawiera podatność na zdalne wykonanie poleceń po uwierzytelnieniu, która pozwala zdalnym atakującym na wykonywanie dowolnych poleceń po pomyślnym zalogowaniu. Atakujący mogą wykorzystać punkt końcowy /api/terminal/create do wysłania ładunku reverse shell netcat, celując w określony adres IP i port.

CVE-2020-37000
Krytyczne

Free MP3 CD Ripper w wersji 2.8 zawiera podatność na przepełnienie bufora stosu, która umożliwia zdalnym atakującym wykonanie dowolnego kodu poprzez stworzenie złośliwego pliku WAV z nadmiernym ładunkiem. Atakujący mogą wykorzystać specjalnie przygotowany plik exploit z shellcode, obejściem SEH oraz techniką egghunter, aby uzyskać zdalne wykonanie kodu na podatnych systemach Windows.

CVE-2020-36997
Krytyczne

BacklinkSpeed w wersji 2.4 zawiera podatność na przepełnienie bufora, która umożliwia atakującym uszkodzenie łańcucha obsługi wyjątków strukturalnych (SEH) poprzez import złośliwego pliku. Atakujący mogą stworzyć specjalnie zaprojektowany plik ładunku, aby nadpisać adresy SEH, co potencjalnie pozwala na wykonanie dowolnego kodu i przejęcie kontroli nad aplikacją.

CVE-2026-1188
Krytyczne

W bibliotece portowej Eclipse OMR od wersji 0.2.0 występowała podatność w funkcji API, która zwracała nazwy tekstowe wszystkich obsługiwanych funkcji procesora. Nie uwzględnienie separatora między funkcjami procesora mogło prowadzić do przepełnienia bufora, jeśli dostarczony bufor był niewłaściwie wymiarowany.

CVE-2026-24897
Krytyczne

Erugo to platforma do udostępniania plików, która w wersjach do 0.2.14 ma lukę umożliwiającą uwierzytelnionemu użytkownikowi o niskich uprawnieniach przesyłanie dowolnych plików do wskazanej lokalizacji z powodu niewystarczającej walidacji ścieżek dostarczonych przez użytkownika. W wyniku tego atakujący może przesłać i wykonać dowolny kod na serwerze, co prowadzi do zdalnego wykonania kodu (RCE).

CVE-2026-24857
Krytyczne

W narzędziu `bulk_extractor` występuje podatność typu przepełnienie bufora na stercie w kodzie unrar, zaczynając od wersji 1.4. Wykorzystanie spreparowanego pliku RAR w obrazie dysku może prowadzić do zapisu poza przydzielonym obszarem pamięci, co skutkuje awarią lub uszkodzeniem pamięci.

CVE-2026-24769
Krytyczne

NocoDB, oprogramowanie do tworzenia baz danych w formie arkuszy kalkulacyjnych, przed wersją 0.301.0 zawierało podatność na przechowywane ataki XSS w mechanizmie obsługi załączników. Użytkownicy z autoryzacją mogli przesyłać złośliwe pliki SVG z osadzonym JavaScriptem, które były później renderowane i wykonywane w przeglądarkach innych użytkowników.

CVE-2025-69602
Krytyczne

W aplikacji 66biolinks v62.0.0 od AltumCode występuje podatność na fikcję sesji, ponieważ aplikacja nie regeneruje identyfikatora sesji po pomyślnej autoryzacji. To pozwala na ponowne użycie tego samego wartości ciasteczka sesji dla użytkowników logujących się z tej samej przeglądarki.

CVE-2025-57795
Krytyczne

Wersje Explorance Blue przed 8.14.13 zawierają podatność na zdalne pobieranie plików, która wymaga uwierzytelnienia w komponencie usługi internetowej. W domyślnych konfiguracjach, luka ta może być wykorzystana do zdalnego wykonania kodu.

CVE-2025-57794
Krytyczne

Wersje Explorance Blue przed 8.14.9 zawierają podatność na nieograniczone przesyłanie plików w interfejsie administracyjnym. Aplikacja nie ogranicza odpowiednio typów przesyłanych plików, co pozwala na przesyłanie i wykonywanie złośliwych plików przez serwer.

CVE-2025-57792
Krytyczne

Wersje Explorance Blue przed 8.14.9 zawierają podatność na wstrzyknięcie SQL spowodowaną niewystarczającą walidacją danych wejściowych w punkcie końcowym aplikacji webowej. Atakujący może dostarczyć spreparowane dane, które są wykonywane jako część zapytań do bazy danych.

CVE-2020-36967
Krytyczne

Zortam Mp3 Media Studio w wersji 27.60 zawiera podatność na przepełnienie bufora w procesie wyboru pliku do tworzenia biblioteki, co umożliwia zdalne wykonanie kodu. Atakujący mogą stworzyć złośliwy plik tekstowy z shellcode'em, aby wywołać nadpisanie strukturalnego handlera wyjątków (SEH) i wykonać dowolne polecenia na docelowym systemie.

CVE-2020-36964
Krytyczne

YATinyWinFTP zawiera podatność na odmowę usługi, która pozwala atakującym na zablokowanie usługi FTP poprzez wysłanie bufora o wielkości 272 bajtów z końcową spacją. Atakujący mogą wykorzystać tę podatność, łącząc się i wysyłając niepoprawne polecenie, co prowadzi do przepełnienia bufora i awarii usługi.

CVE-2020-36962
Krytyczne

Tendenci 12.3.1 zawiera podatność na wstrzykiwanie formuł CSV w polu wiadomości formularza kontaktowego, co pozwala atakującym na wstrzykiwanie złośliwych formuł podczas eksportu. Atakujący mogą przesyłać przygotowane ładunki, które prowadzą do wykonania dowolnych poleceń po otwarciu pliku CSV w aplikacjach arkusza kalkulacyjnego.

CVE-2020-36961
Krytyczne

10-Strike Network Inventory Explorer w wersji 8.65 zawiera podatność na przepełnienie bufora w obsłudze wyjątków, która umożliwia zdalnym atakującym wykonanie dowolnego kodu. Atakujący mogą stworzyć złośliwy plik z 209 bajtami wypełnienia oraz specjalnie skonstruowanym obsługiwaczem wyjątków, aby wywołać wykonanie kodu.

CVE-2025-61140
Krytyczne

Funkcja value w bibliotece jsonpath w wersji 1.1.1 w pliku lib/index.js jest podatna na zanieczyszczenie prototypu (Prototype Pollution). Atakujący może wykorzystać tę lukę do modyfikacji prototypu obiektów, co może prowadzić do nieautoryzowanego dostępu lub wykonania kodu.

CVE-2026-1056
Krytyczne

Wtyczka Snow Monkey Forms dla WordPressa jest podatna na nieautoryzowane usuwanie plików z powodu niewystarczającej walidacji ścieżek plików w funkcji 'generate_user_dirpath' we wszystkich wersjach do i włącznie z 12.0.3. Umożliwia to nieautoryzowanym atakującym usuwanie dowolnych plików na serwerze.

CVE-2025-40554
Krytyczne

SolarWinds Web Help Desk jest podatny na lukę w autoryzacji, która może umożliwić atakującemu wywołanie określonych działań w systemie Web Help Desk. Wykorzystanie tej luki może prowadzić do nieautoryzowanego dostępu do funkcji aplikacji.

PoprzedniaStrona 184 z 562Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS