Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-7569
Wysokie

Podatność w Quest NetVault Backup umożliwia atakującemu ominięcie uwierzytelniania poprzez skryptowanie między witrynami (XSS) w komponencie viewclient. Wymaga interakcji użytkownika, który musi odwiedzić złośliwą stronę lub otworzyć złośliwy plik.

CVE-2026-40079
KrytyczneEPSS 62%

Cacti w wersjach 1.2.30 i wcześniejszych zawiera podatność na wstrzykiwanie poleceń w funkcji escape_command() w pliku lib/rrd.php, która nie wykonuje żadnego oczyszczania danych, zwracając niezmienione polecenie. Funkcja rrdtool_function_graph() przekazuje zbudowane polecenie do shell_exec() przez tę nieskuteczną funkcję, a ryzyko polega na tym, że wartości text_format z szablonów wykresów (mogące zawierać podstawienia zmiennych hosta) trafiają do shell_exec() bez odpowiedniego escapowania.

CVE-2026-39951
Wysokie

Cacti to otwartoźródłowe narzędzie do zarządzania wydajnością i awariami. W wersjach 1.2.30 i wcześniejszych odkryto podatność na wstrzykiwanie SQL (SQL Injection) w funkcji Reports, poprzez parametr graph_name_regexp. Luka została załatana w wersji 1.2.31.

CVE-2025-60473
Średnie

W bibliotece GPAC/MP4Box przed wersją 26.02.0 wykryto podatność polegającą na dereferencji wskaźnika NULL w funkcji gf_filter_in_parent_chain. Atakujący może spowodować odmowę usługi (DoS) poprzez dostarczenie spreparowanego pliku.

CVE-2025-60466
Średnie

W bibliotece GPAC/MP4Box przed wersją 26.02.0 wykryto podatność use-after-free w funkcji gf_filter_pid_get_packet w pliku filter_core/filter_pid.c. Atakujący może wykorzystać specjalnie spreparowany plik multimedialny, aby doprowadzić do awarii aplikacji (odmowa usługi).

CVE-2026-39955
Krytyczne

Cacti w wersjach 1.2.30 i wcześniejszych zawiera podatność na wstrzykiwanie SQL przed uwierzytelnieniem, wykorzystującą niesprawdzony filtr FILTER_VALIDATE_REGEXP w pliku graph_view.php. Problem został naprawiony w wersji 1.2.31.

CVE-2026-39948
Krytyczne

W Cacti w wersjach 1.2.30 i wcześniejszych parametr rfilter jest pobierany przez surowy akcesor grv() zamiast gfrv() z walidacją FILTER_VALIDATE_IS_REGEX i bezpośrednio wstawiany do klauzul SQL RLIKE w plikach lib/html_graph.php i lib/html_tree.php. Te pliki są dostępne przed uwierzytelnieniem przez graph_view.php w instalacjach z włączonym przeglądaniem wykresów dla gości. Ponieważ ładunek z niezbalansowanym cudzysłowem omija walidację wyrażeń regularnych, nieuwierzytelniony atakujący może wstrzyknąć dowolny SQL, naruszając poufność, integralność i dostępność bazy danych.

CVE-2026-39938
Krytyczne

Cacti to otwartoźródłowe narzędzie do zarządzania wydajnością i awariami. W wersjach 1.2.30 i wcześniejszych istnieje podatność na nieuwierzytelniony lokalny włącznik plików (LFI) poprzez parametry graph_theme oraz wzmocnienie serializacji IPC rrdtool. Problem został rozwiązany w wersji 1.2.31.

CVE-2026-39900
Średnie

Cacti to otwartoźródłowy framework do zarządzania wydajnością i błędami. Wersje 1.2.30 i wcześniejsze są podatne na atak typu Reflected XSS poprzez parametr tab w kontekście JavaScript pliku auth_profile.php. Problem został naprawiony w wersji 1.2.31.

CVE-2026-39899
Średnie

Cacti to framework open source do zarządzania wydajnością i awariami. Wersje 1.2.30 i wcześniejsze są podatne na Path Traversal przez parametr filename w pliku package_import.php. Problem został naprawiony w wersji 1.2.31.

CVE-2025-8106
Nieznane

Identyfikator CVE-2025-8106 został odrzucony lub wycofany przez jego autorytet numeracji CVE.

CVE-2025-60474
Wysokie

Podatność przepełnienia bufora w funkcji gf_media_import w bibliotece GPAC/MP4Box przed wersją 26.02.0 umożliwia atakującemu wywołanie odmowy usługi (DoS) poprzez dostarczenie spreparowanego pliku wejściowego.

CVE-2025-60467
Wysokie

W bibliotece GPAC/MP4Box przed wersją 26.02.0 wykryto podatność use-after-free w funkcji gf_filter_pid_inst_swap_delete_task w pliku filter_pid.c. Atakujący może wykorzystać specjalnie spreparowany plik multimedialny, aby spowodować awarię aplikacji i odmowę usługi (DoS).

CVE-2026-9779
Wysokie

W produkcie ATEN Unizon w metodzie updateWar stwierdzono nieprawidłową implementację weryfikacji podpisu kryptograficznego. Uwierzytelniony zdalny atakujący może wykorzystać tę podatność do wykonania dowolnego kodu w kontekście SYSTEM.

CVE-2026-9778
WysokieEPSS 71%

Podatność typu directory traversal w metodzie ImportDeviceList oprogramowania ATEN Unizon umożliwia zdalne wykonanie kodu. Problem wynika z braku walidacji ścieżki podanej przez użytkownika przed użyciem jej w operacjach na plikach. Do wykorzystania wymagane jest uwierzytelnienie.

CVE-2026-9777
WysokieEPSS 71%

Podatność typu directory traversal w metodzie restoreDB oprogramowania ATEN Unizon umożliwia zdalne wykonanie kodu. Luka wynika z braku walidacji ścieżki dostarczonej przez użytkownika przed użyciem jej w operacjach na plikach. Atak wymaga uwierzytelnienia, ale pozwala na wykonanie kodu w kontekście systemu SYSTEM.

CVE-2026-9776
WysokieEPSS 72%

Podatność typu Directory Traversal w metodzie writeFileToHttpServletResponse w ATEN Unizon umożliwia zdalnym atakującym ujawnienie poufnych informacji bez uwierzytelnienia. Problem wynika z braku walidacji ścieżki dostarczonej przez użytkownika przed użyciem jej w operacjach na plikach.

CVE-2026-9775
ŚrednieEPSS 64%

Podatność w metodzie uploadSSL oprogramowania ATEN Unizon umożliwia zdalną, uwierzytelnioną eliminację dowolnych plików. Problem wynika z braku walidacji ścieżki dostarczonej przez użytkownika przed użyciem jej w operacjach na plikach.

CVE-2026-9774
ŚrednieEPSS 64%

Podatność w metodzie updateLicense oprogramowania ATEN Unizon umożliwia zdalną, uwierzytelnioną osobę do usunięcia dowolnych plików w systemie. Problem wynika z braku walidacji ścieżki podanej przez użytkownika przed użyciem jej w operacjach na plikach.

CVE-2026-9773
WysokieEPSS 62%

Podatność umożliwia zdalne wykonanie kodu w systemie Unraid poprzez wstrzyknięcie poleceń do skryptu ToggleState.php. Atak wymaga uwierzytelnienia, a loka wynika z braku walidacji danych użytkownika przed użyciem ich w wywołaniu systemowym.

PoprzedniaStrona 196 z 4563Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS