Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.16)
W wielu routerach Vigor wykryto podatność na przepełnienie bufora w parserze CGI podczas obsługi nagłówka "Content-Length" żądań HTTP POST. Umożliwia to zdalnemu atakującemu wykonanie dowolnego kodu na urządzeniu.
W routerach DrayTek Vigor wykryto podatność przepełnienia bufora stosu w funkcji parsowania URL serwera TR069 STUN. Brak odpowiedniego sprawdzania granic parametrów URL umożliwia zdalnemu atakującemu wykonanie dowolnego kodu z podwyższonymi uprawnieniami poprzez wysłanie spreparowanego żądania.
W urządzeniach Tuoshi/Dionlink LT15D 4G Wi-Fi oraz LT21B odkryto podatność na wstrzykiwanie poleceń. Atakujący zdalny, nieautoryzowany użytkownik z dostępem do sieci może wykorzystać tę lukę, aby wykonać dowolne polecenia systemowe z uprawnieniami roota.
Podatność CVE-2024-13148 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL w platformie logowania B2B Yukseloglu, co umożliwia atak typu SQL Injection. Problem ten dotyczy wersji platformy przed 16.01.2025.
W wersji 2.15.5 oprogramowania Ciges od ATISoluciones odkryto podatność na wstrzykiwanie SQL. Umożliwia ona atakującemu pobieranie, tworzenie, aktualizowanie oraz usuwanie danych w bazie danych za pomocą parametru $idServicio w punkcie końcowym /modules/ajaxBloqueaCita.php.
Urządzenia TP-Link TL-WR845N z oprogramowaniem układowym TL-WR845N(UN)_V4_200909 i TL-WR845N(UN)_V4_190219 zawierają twardo zakodowane hasło dla konta root, które można uzyskać poprzez analizę pobranego oprogramowania lub atak brute force przy fizycznym dostępie do routera. Problem został rozwiązany w wersjach oprogramowania 250401 lub nowszych.
W systemie FoxCMS w wersji 1.2.5 wykryto podatność polegającą na dowolnym przesyłaniu plików w komponencie LocalTemplate.php. Atakujący może przesłać spreparowany plik ZIP, co umożliwia wykonanie dowolnego kodu na serwerze.
W systemie FoxCMS w wersji 1.2.5 wykryto podatność zdalnego wykonania kodu (RCE) w metodzie index() w pliku \controller\Sitemap.php. Atakujący może wykorzystać tę lukę do wykonania dowolnego kodu na serwerze.
W JizhiCMS v2.5.4 wykryto podatność na fałszowanie żądań po stronie serwera (SSRF) w komponencie \c\PluginsController.php. Umożliwia ona atakującemu skanowanie sieci wewnętrznej poprzez spreparowane żądanie.
W Jizhicms v2.5.4 w komponencie TemplateController.php wykryto podatność na dowolne przesyłanie plików. Atakujący może przesłać spreparowany plik ZIP, co umożliwia zdalne wykonanie kodu na serwerze.
W systemie Emlog Pro w wersji 2.5.3 wykryto podatność polegającą na dowolnym przesyłaniu plików w komponencie admin\plugin.php. Umożliwia ona atakującemu wykonanie dowolnego kodu poprzez przesłanie spreparowanego pliku ZIP.
W podatności CVE-2025-26974 występuje niewłaściwe neutralizowanie specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w wtyczce WP Multistore Locator. Problem dotyczy wersji od n/a do 2.5.1.
Podatność CVE-2025-26966 dotyczy systemu PrivateContent, umożliwiając obejście uwierzytelnienia za pomocą alternatywnej ścieżki lub kanału. Problem ten występuje w wersjach od n/a do 8.11.5 włącznie.
Podatność CVE-2025-26943 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w aplikacji Easy Quotes w wersjach od n/a do 1.2.2.
Podatność CVE-2025-26900 dotyczy deserializacji niezaufanych danych w systemie Flexmls® IDX, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji Flexmls® IDX od n/a do 3.14.27 włącznie.
W Public Knowledge Project (PKP) OJS, OMP i OPS przed wersjami 3.3.0.21 oraz 3.4.x przed 3.4.0.8, atak XXE przez rolę redaktora czasopisma może stworzyć nową rolę super administratora w kontekście czasopisma oraz wprowadzić wtyczkę z tylnym wejściem, przesyłając spreparowany dokument XML jako wtyczkę XML użytkownika.
W systemie Smart Time Plus w wersjach od 8.x do 8.6 odkryto podatność na wstrzykiwanie SQL poprzez metodę getCookieNames w punkcie końcowym smarttimeplus/MySQLConnection.
W MITRE Caldera w wersjach do 4.2.0 oraz 5.0.0 przed 35bc06e odkryto podatność na zdalne wykonanie kodu (RCE) w funkcjonalności kompilacji dynamicznych agentów (implantów) serwera. Umożliwia to zdalnym atakującym wykonanie dowolnego kodu na serwerze, na którym działa Caldera, poprzez spreparowane żądanie webowe do API serwera Caldera.
W frameworku XOne Web Monitor w wersji 02.10.2024.530 zidentyfikowano podatność typu SQL injection na stronie logowania. Ta podatność umożliwia atakującym wydobycie wszystkich nazw użytkowników i haseł za pomocą odpowiednio skonstruowanego wejścia.
Podatność w systemie GreaterWMS w wersji 2.1.49 i wcześniejszych umożliwia nieuwierzytelnionemu atakującemu zdalne ujawnienie poświadczeń poprzez trasę /staff. Pozwala to na ominięcie mechanizmów uwierzytelniania i eskalację uprawnień.

