Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2025-52025
Krytyczne

Podatność SQL Injection w punkcie końcowym GetServiceByRestaurantID platformy POS gemscms firmy Aptsys (do 2025-05-28) pozwala atakującemu na wstrzyknięcie i wykonanie dowolnego kodu SQL poprzez parametr id, co wynika z braku sanityzacji i parametryzacji zapytań.

CVE-2025-52024
Krytyczne

Podatność w module Web Services platformy Aptsys POS do 2025-05-28 ujawnia wewnętrzne narzędzia testowania API nieuwierzytelnionym użytkownikom. Poprzez dostęp do konkretnych URL-i atakujący widzi indeks katalogu z listą wszystkich dostępnych usług backendowych i POS, każdą z formularzem HTML do testowania. Te panele, przeznaczone dla programistów, są dostępne w środowiskach produkcyjnych bez uwierzytelniania.

CVE-2025-70983
Krytyczne

Wersja 4.5.0 SpringBlade zawiera błąd w kontroli dostępu w funkcji authRoutes, który pozwala atakującym z niskimi uprawnieniami na eskalację uprawnień.

CVE-2026-24423
Krytyczne

Wersje SmarterTools SmarterMail przed wersją 9511 zawierają podatność na zdalne wykonanie kodu bez uwierzytelnienia w metodzie API ConnectToHub. Atakujący może skierować SmarterMail na złośliwy serwer HTTP, który dostarcza złośliwe polecenie systemowe, które zostanie wykonane przez podatną aplikację.

CVE-2022-25369
Krytyczne

W Dynamicweb przed wersją 9.12.8 odkryto problem, który pozwala atakującemu na dodanie nowego użytkownika administratora bez autoryzacji. Wadliwość ta wynika z błędu logicznego przy określaniu, czy etapy konfiguracji produktu mogą być uruchamiane ponownie.

CVE-2021-47891
Krytyczne

Unified Remote w wersji 3.9.0.2463 zawiera podatność na zdalne wykonanie kodu, która umożliwia atakującym wysyłanie spreparowanych pakietów sieciowych w celu wykonania dowolnych poleceń. Atakujący mogą wykorzystać tę podatność, łącząc się z portem 9512 i wysyłając specjalnie przygotowane pakiety.

CVE-2025-66719
Krytyczne

W wersji 1.4.0 Free5gc NRF odkryto problem w logice generowania tokenów dostępu. Funkcja AccessTokenScopeCheck() w pliku internal/sbi/processor/access_token.go omija wszelką walidację zakresu, gdy atakujący użyje spreparowanej wartości targetNF, co pozwala na uzyskanie tokena dostępu z dowolnym zakresem.

CVE-2025-4320
Krytyczne

Podatność CVE-2025-4320 dotyczy mechanizmu odzyskiwania hasła w oprogramowaniu Sufirmam firmy Birebirsoft, który umożliwia obejście uwierzytelniania. Słaby mechanizm odzyskiwania hasła dla zapomnianego hasła stwarza możliwość wykorzystania tej luki.

CVE-2025-4319
Krytyczne

Podatność w oprogramowaniu Sufirmam firmy Birebirsoft Software and Technology Solutions polega na niewłaściwym ograniczeniu nadmiernych prób uwierzytelnienia oraz słabym mechanizmie odzyskiwania hasła. Umożliwia to ataki typu brute force oraz wykorzystanie mechanizmu odzyskiwania hasła.

CVE-2026-1364
Krytyczne

IAQS i I6 opracowane przez JNC mają lukę związaną z brakiem uwierzytelnienia, co pozwala nieautoryzowanym zdalnym atakującym na bezpośrednie korzystanie z funkcji administracyjnych systemu.

CVE-2026-1363
Krytyczne

IAQS i I6 opracowane przez JNC mają podatność na wymuszanie zabezpieczeń po stronie serwera z poziomu klienta, co pozwala nieautoryzowanym atakującym zdalnym na uzyskanie uprawnień administratora poprzez manipulację interfejsem webowym.

CVE-2026-0794
Krytyczne

Podatność CVE-2026-0794 dotyczy urządzeń ALGO 8180 IP Audio Alerter i pozwala zdalnym atakującym na wykonanie dowolnego kodu. Problem wynika z braku walidacji istnienia obiektu przed wykonaniem operacji na nim w kontekście obsługi połączeń SIP.

CVE-2026-0793
Krytyczne

Podatność CVE-2026-0793 dotyczy urządzeń ALGO 8180 IP Audio Alerter i polega na przepełnieniu bufora w pamięci dynamicznej, co umożliwia zdalnym atakującym wykonanie dowolnego kodu. Problem wynika z braku odpowiedniej walidacji długości danych dostarczanych przez użytkownika przed ich skopiowaniem do bufora.

CVE-2026-0792
Krytyczne

Podatność CVE-2026-0792 dotyczy urządzeń ALGO 8180 IP Audio Alerter i polega na przepełnieniu bufora na stosie w trakcie obsługi nagłówka Alert-Info w żądaniach SIP INVITE. Umożliwia to zdalnym atakującym wykonanie dowolnego kodu na podatnych instalacjach bez potrzeby uwierzytelnienia.

CVE-2026-0791
Krytyczne

Podatność CVE-2026-0791 dotyczy urządzeń ALGO 8180 IP Audio Alerter i pozwala zdalnym atakującym na wykonanie dowolnego kodu. Problem wynika z niewłaściwego sprawdzania długości danych dostarczanych przez użytkownika w nagłówku Replaces żądania SIP INVITE.

CVE-2026-0787
Krytyczne

Podatność CVE-2026-0787 dotyczy urządzeń ALGO 8180 IP Audio Alerter i pozwala zdalnym atakującym na wykonanie dowolnego kodu. Problem wynika z braku odpowiedniej walidacji ciągu znaków dostarczonego przez użytkownika przed jego użyciem do wykonania wywołania systemowego.

CVE-2026-0773
Krytyczne

Podatność CVE-2026-0773 w Upsonic umożliwia zdalnym atakującym wykonanie dowolnego kodu na zainfekowanych instalacjach. Problem występuje w punkcie końcowym add_tool, który domyślnie nasłuchuje na porcie TCP 7541, a jego przyczyną jest brak odpowiedniej walidacji danych dostarczanych przez użytkowników.

CVE-2026-0770
Krytyczne

Podatność CVE-2026-0770 w Langflow pozwala zdalnym atakującym na wykonanie dowolnego kodu na zainfekowanych instalacjach. Problem dotyczy parametru exec_globals przekazywanego do punktu końcowego validate, co prowadzi do włączenia zasobu z nieufnej sfery kontrolnej.

CVE-2026-0769
Krytyczne

Podatność CVE-2026-0769 dotyczy funkcji eval_custom_component_code w Langflow, która pozwala na zdalne wykonanie dowolnego kodu. Problem wynika z braku odpowiedniej walidacji łańcucha dostarczonego przez użytkownika przed jego użyciem do wykonania kodu Pythona.

CVE-2026-0768
Krytyczne

Podatność CVE-2026-0768 dotyczy Langflow i pozwala zdalnym atakującym na wykonanie dowolnego kodu na zainfekowanych instalacjach. Wykorzystanie tej podatności nie wymaga uwierzytelnienia.

PoprzedniaStrona 187 z 562Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS