Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2025-68670
Krytyczne

xrdp to otwartoźródłowy serwer RDP. W wersjach przed 0.10.5 występuje podatność na przepełnienie bufora na stosie, wynikająca z niewłaściwego sprawdzania granic podczas przetwarzania informacji o domenie użytkownika. W przypadku wykorzystania tej podatności, zdalni atakujący mogą wykonać dowolny kod na docelowym systemie.

CVE-2021-47901
Krytyczne

Dirsearch w wersji 0.4.1 zawiera podatność na wstrzykiwanie CSV, gdy używana jest flaga --csv-report. Umożliwia to atakującym wstrzykiwanie formuł przez przekierowane punkty końcowe.

CVE-2021-47900
Krytyczne

Wersje Gila CMS przed 2.0.0 zawierają podatność na zdalne wykonanie kodu, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych poleceń systemowych poprzez manipulowane nagłówki HTTP. Atakujący mogą wstrzykiwać kod PHP w nagłówku User-Agent, wykorzystując shell_exec() do uruchamiania poleceń systemowych, wysyłając odpowiednio skonstruowane żądania do punktu końcowego administratora.

CVE-2020-36948
Krytyczne

VestaCP w wersji 0.9.8-26 zawiera podatność na token sesji w module LoginAs, która pozwala zdalnym atakującym na manipulację tokenami uwierzytelniającymi. Atakujący mogą wykorzystać niewystarczającą walidację tokenów do uzyskania dostępu do kont użytkowników i wykonywania nieautoryzowanych żądań logowania bez odpowiednich uprawnień administracyjnych.

CVE-2020-36941
Krytyczne

Knockpy w wersji 4.1.1 zawiera podatność na wstrzykiwanie CSV, która pozwala atakującym na wstrzykiwanie złośliwych formuł do raportów CSV poprzez nieprzefiltrowane nagłówki serwera. Atakujący mogą manipulować nagłówkami odpowiedzi serwera, aby zawierały formuły arkusza kalkulacyjnego, które zostaną wykonane po otwarciu CSV w aplikacjach arkuszy kalkulacyjnych.

CVE-2020-36940
Krytyczne

Easy CD & DVD Cover Creator w wersji 4.13 zawiera podatność na przepełnienie bufora w polu wprowadzania numeru seryjnego, co pozwala atakującym na awarię aplikacji. Atakujący mogą wygenerować 6000-bajtowy ładunek i wkleić go do pola numeru seryjnego, co prowadzi do awarii aplikacji.

CVE-2026-24830
Krytyczne

W podatności CVE-2026-24830 występuje przepełnienie lub owinięcie liczb całkowitych w systemie Ralim IronOS, które dotyczy wersji przed v2.23-rc2.

CVE-2026-24346
Krytyczne

Wykorzystanie znanych domyślnych poświadczeń w interfejsie administracyjnym EZCast Pro II w wersji 1.17478.146 umożliwia atakującym dostęp do chronionych obszarów aplikacji webowej.

CVE-2026-24811
Krytyczne

Podatność w projekcie root (moduły builtins/zlib) związana z plikami programowymi inffast.C. Problem ten dotyczy oprogramowania root.

CVE-2026-24793
Krytyczne

Podatność CVE-2026-24793 dotyczy błędu zapisu poza granicami w module zlib w azerothcore-wotlk, co prowadzi do klasycznego przepełnienia bufora. Problem ten występuje w plikach programu inflate.C i dotyczy wersji azerothcore-wotlk do v4.0.0.

CVE-2026-24479
Krytyczne

HUSTOF to otwartoźródłowy system oceny online oparty na PHP/C++/MySQL/Linux, używany w treningach ACM/ICPC i NOIP. W wersjach przed 26.01.24 moduły problem_import_qduoj.php i problem_import_hoj.php nieprawidłowo sanitizują nazwy plików w przesyłanych archiwach ZIP, co umożliwia atakującym wykonanie złośliwego kodu.

CVE-2026-24400
Krytyczne

W wersjach od 1.4.0 do 3.27.7 biblioteki AssertJ występuje podatność typu XML External Entity (XXE) w metodzie `toXmlDocument(String)` klasy `XmlStringPrettyFormatter`. Problem polega na tym, że `DocumentBuilderFactory` jest inicjowany z domyślnymi ustawieniami, co nie wyłącza DTD ani zewnętrznych encji.

CVE-2026-22709
Krytyczne

vm2 to otwarte źródło vm/sandbox dla Node.js. W wersjach przed 3.10.2, sanizacja callbacków `Promise.prototype.then` i `Promise.prototype.catch` może zostać ominięta, co pozwala atakującym na ucieczkę z sandboxa i uruchomienie dowolnego kodu.

CVE-2025-70982
Krytyczne

Wersja 4.5.0 SpringBlade zawiera nieprawidłowe zabezpieczenia dostępu w funkcji importUser, co pozwala atakującym z niskimi uprawnieniami na dowolne importowanie wrażliwych danych użytkowników.

CVE-2025-13374
Krytyczne

Wtyczka Kalrav AI Agent dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w akcji AJAX kalrav_upload_file we wszystkich wersjach do i włącznie z 2.3.3. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.

CVE-2026-24399
Krytyczne

ChatterMate to framework agenta czatu AI bez kodu. W wersjach 1.0.8 i poniżej, chatbot akceptuje i wykonuje złośliwe ładunki HTML/JavaScript dostarczane jako wejście czatu, co pozwala na dostęp do wrażliwych danych po stronie klienta.

CVE-2026-22586
Krytyczne

Podatność związana z twardo zakodowanym kluczem kryptograficznym w Salesforce Marketing Cloud Engagement umożliwia manipulację protokołem usług internetowych. Problem ten dotyczy modułów takich jak CloudPages, Forward to a Friend, Profile Center, Subscription Center, Unsub Center oraz View As Webpage.

CVE-2026-22585
Krytyczne

Podatność związana z użyciem uszkodzonego lub ryzykownego algorytmu kryptograficznego w Salesforce Marketing Cloud Engagement umożliwia manipulację protokołem usług internetowych. Problem ten dotyczy modułów takich jak CloudPages, Forward to a Friend, Profile Center, Subscription Center, Unsub Center oraz View As Webpage i występuje przed 21 stycznia 2026 roku.

CVE-2026-22583
Krytyczne

Podatność CVE-2026-22583 dotyczy niewłaściwej neutralizacji ograniczników argumentów w komendzie, co prowadzi do możliwości manipulacji protokołem usług internetowych w module CloudPagesUrl Salesforce Marketing Cloud Engagement. Problem ten dotyczy wersji przed 21 stycznia 2026 roku.

CVE-2026-22582
Krytyczne

Podatność CVE-2026-22582 dotyczy niewłaściwej neutralizacji ograniczników argumentów w module MicrositeUrl Salesforce Marketing Cloud Engagement, co umożliwia manipulację protokołem usług internetowych. Problem ten dotyczy wersji Marketing Cloud Engagement przed 21 stycznia 2026 roku.

PoprzedniaStrona 186 z 562Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS