Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2025-40553
Krytyczne

SolarWinds Web Help Desk jest podatny na lukę w deserializacji niezaufanych danych, co może prowadzić do zdalnego wykonania kodu. Atakujący może uruchomić polecenia na maszynie gospodarza bez potrzeby uwierzytelnienia.

CVE-2025-40552
Krytyczne

W systemie SolarWinds Web Help Desk zidentyfikowano podatność na obejście uwierzytelnienia, która, jeśli zostanie wykorzystana, pozwala złośliwemu użytkownikowi na wykonywanie działań i metod, które powinny być chronione przez uwierzytelnienie.

CVE-2025-40551
Krytyczne

SolarWinds Web Help Desk jest podatny na lukę w deserializacji niezaufanych danych, co może prowadzić do zdalnego wykonania kodu. Atakujący może uruchomić polecenia na maszynie hosta bez potrzeby uwierzytelnienia.

CVE-2026-24841
Krytyczne

Dokploy to darmowa, samodzielnie hostowana platforma jako usługa (PaaS). W wersjach przed 0.26.6 występuje krytyczna podatność na wstrzyknięcie poleceń w punkcie końcowym WebSocket `/docker-container-terminal`, gdzie parametry `containerId` i `activeWay` są interpolowane bez sanitizacji, co pozwala uwierzytelnionym atakującym na wykonywanie dowolnych poleceń na serwerze hosta.

CVE-2026-24838
Krytyczne

DNN (wcześniej DotNetNuke) to otwartoźródłowa platforma zarządzania treścią w ekosystemie Microsoft. W wersjach przed 9.13.10 i 10.2.0 tytuł modułu wspierał richtext, co mogło prowadzić do wykonania skryptów w określonych scenariuszach. Wersje 9.13.10 i 10.2.0 zawierają poprawkę dla tego problemu.

CVE-2026-24785
Krytyczne

Clatter to zgodna z no_std, czysta implementacja protokołu Noise w języku Rust z wsparciem dla post-kwantowego. Wersje przed 2.2.0 mają podatność na niezgodność protokołu, która pozwalała na użycie kluczy pochodzących z PSK bez odpowiedniej randomizacji, co osłabia gwarancje bezpieczeństwa.

CVE-2026-23830
Krytyczne

SandboxJS to biblioteka do sandboxingu JavaScript. Wersje przed 0.8.26 mają podatność na ucieczkę z sandboxa z powodu braku izolacji `AsyncFunction` w `SandboxFunction`, co pozwala na nieautoryzowany dostęp do globalnych funkcji.

CVE-2026-24740
Krytyczne

Dozzle to narzędzie do podglądu logów w czasie rzeczywistym dla kontenerów Docker. W wersjach przed 9.0.3 występowała luka, która pozwalała użytkownikowi z ograniczeniami opartymi na etykietach uzyskać interaktywną powłokę root w kontenerach spoza zakresu, celując bezpośrednio w ich identyfikatory kontenerów.

CVE-2026-24736
Krytyczne

Squidex to otwartoźródłowy system zarządzania treścią, który w wersjach do 7.21.0 pozwala użytkownikom definiować 'Webhooks' w silniku reguł. Parametr url w konfiguracji webhooka nie weryfikuje ani nie ogranicza adresów IP, co umożliwia wykorzystanie lokalnych adresów, takich jak 127.0.0.1. W momencie wyzwolenia reguły, serwer backendowy wykonuje żądanie HTTP do dostarczonego przez użytkownika URL, co prowadzi do ujawnienia pełnej odpowiedzi HTTP w logach wykonania reguły.

CVE-2025-21589
Krytyczne

Podatność typu Bypass uwierzytelnienia w routerze Session Smart firmy Juniper Networks pozwala atakującemu z sieci na ominięcie uwierzytelnienia i przejęcie kontroli administracyjnej nad urządzeniem. Dotyczy to różnych wersji routerów i conductorów Session Smart oraz routerów zarządzanych WAN Assurance.

CVE-2026-24858
KrytyczneAktywnie exploitowaneEPSS 90%

W Fortinet FortiAnalyzer, FortiManager, FortiNAC-F, FortiOS, FortiProxy oraz FortiWeb występuje podatność na obejście uwierzytelnienia, która pozwala atakującemu z kontem FortiCloud i zarejestrowanym urządzeniem na zalogowanie się do innych urządzeń zarejestrowanych na innych kontach, jeśli na tych urządzeniach włączono uwierzytelnianie SSO FortiCloud.

CVE-2026-22039
Krytyczne

Kyverno, silnik polityk dla zespołów inżynieryjnych platform chmurowych, ma krytyczną lukę w autoryzacji w wersjach przed 1.16.3 i 1.15.3. Umożliwia ona użytkownikom z odpowiednimi uprawnieniami do tworzenia polityk w przestrzeni nazw na wykonywanie żądań API Kubernetes z tożsamością kontrolera przyjęć Kyverno, co narusza izolację przestrzeni nazw.

CVE-2025-69564
Krytyczne

System zarządzania sklepem mobilnym code-projects w wersji 1.0 jest podatny na atak typu SQL Injection w pliku /ExAddNewUser.php. Wrażliwe parametry to Name, Address, email, UserName, Password, confirm_password, Role, Branch oraz Activate.

CVE-2025-69563
Krytyczne

System zarządzania sklepem mobilnym code-projects w wersji 1.0 jest podatny na atak typu SQL Injection w pliku /ExLogin.php poprzez parametr Password.

CVE-2025-69562
Krytyczne

System zarządzania sklepem mobilnym code-projects w wersji 1.0 jest podatny na atak typu SQL Injection w pliku /insertmessage.php poprzez parametr userid.

CVE-2025-69559
Krytyczne

System księgarni komputerowej code-projects w wersji 1.0 jest podatny na atak związany z przesyłaniem plików w pliku admin_add.php. Umożliwia to nieautoryzowanym użytkownikom przesyłanie złośliwych plików na serwer.

CVE-2026-24874
Krytyczne

Podatność typu 'Type Confusion' w xray-monolith umożliwia dostęp do zasobów przy użyciu niekompatybilnego typu. Problem ten dotyczy wersji xray-monolith przed 30 grudnia 2025 roku.

CVE-2026-24872
Krytyczne

Podatność CVE-2026-24872 dotyczy niewłaściwej arytmetyki wskaźników w projekcie ProjectSkyfire w wersji SkyFire_548 przed 5.4.8-stable5. Może to prowadzić do nieprzewidzianych zachowań aplikacji.

CVE-2026-24832
Krytyczne

W podatności CVE-2026-24832 występuje błąd zapisu poza granicami w ixray-team ixray-1.6-stcop, który dotyczy wersji przed 1.3. Może to prowadzić do nieautoryzowanego dostępu do pamięci.

CVE-2025-69565
Krytyczne

System zarządzania sklepem mobilnym code-projects w wersji 1.0 jest podatny na atak związany z przesyłaniem plików w pliku /ExAddProduct.php.

PoprzedniaStrona 185 z 562Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS