Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.16)
W urządzeniu RE11S w wersji 1.11 wykryto podatność na wstrzykiwanie poleceń przez parametr L2TPUserName w skrypcie /goform/setWAN. Atakujący może zdalnie wykonać dowolne polecenia systemowe.
W urządzeniu RE11S w wersji 1.11 wykryto podatność na wstrzykiwanie poleceń przez parametr command w ścieżce /goform/mp. Atakujący może zdalnie wykonać dowolne polecenia systemowe.
W urządzeniu RE11S w wersji 1.11 odkryto przepełnienie stosu w funkcji setWAN przez parametr pptpUserName. Podatność ta może pozwolić atakującemu na zdalne wykonanie kodu lub spowodowanie awarii systemu.
airPASS od NetVision Information ma lukę związaną z brakiem uwierzytelnienia, co pozwala nieautoryzowanym zdalnym atakującym uzyskać dostęp do określonej funkcjonalności administracyjnej w celu pobrania wszystkich kont i haseł.
airPASS od NetVision Information posiada podatność na wstrzykiwanie SQL, która umożliwia nieautoryzowanym zdalnym atakującym wstrzykiwanie dowolnych poleceń SQL w celu odczytu, modyfikacji i usunięcia zawartości bazy danych.
Oprogramowanie do zdalnej pomocy SimpleHelp w wersji 5.5.7 i wcześniejszych ma podatność, która pozwala technikom o niskich uprawnieniach na tworzenie kluczy API z nadmiernymi uprawnieniami. Klucze te mogą być wykorzystane do eskalacji uprawnień do roli administratora serwera.
W urządzeniu HI-SCAN 6040i Hitrax HX-03-19-I odkryto twardo zakodowane dane uwierzytelniające, które umożliwiają dostęp do wsparcia technicznego i serwisu dostawcy.
W Sentry, narzędziu do śledzenia błędów i monitorowania wydajności, odkryto krytyczną podatność w implementacji SAML SSO. Umożliwia ona atakującemu przejęcie dowolnego konta użytkownika przy użyciu złośliwego dostawcy tożsamości SAML oraz innej organizacji na tej samej instancji Sentry.
W systemie rezerwacji kursów ComMotion występuje podatność na wstrzykiwanie SQL z powodu niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL. Problem ten dotyczy wersji systemu od n/a do 6.0.6.
Podatność CVE-2025-22782 dotyczy menedżera listy cen WR Price List Manager dla WooCommerce, który pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach. Umożliwia to przesłanie powłoki sieciowej na serwer WWW.
W demonie rsync odkryto podatność przepełnienia bufora sterty spowodowaną nieprawidłowym obsługiwaniem długości sum kontrolnych (s2length) kontrolowanych przez atakującego. Gdy MAX_DIGEST_LEN przekracza stałą SUM_LENGTH (16 bajtów), atakujący może zapisać dane poza granicami bufora sum2.
Wtyczka Post Grid i Gutenberg Blocks dla WordPressa jest podatna na eskalację uprawnień w wersjach od 2.2.85 do 2.3.3. Problem wynika z niewłaściwego ograniczenia aktualizacji metadanych użytkownika podczas rejestracji profilu.
W urządzeniu Tenda i24 w wersji V2.0.0.5 wykryto podatność na przepełnienie bufora w funkcji addWifiMacFilter. Atakujący może wykorzystać tę lukę do zdalnego wykonania kodu lub spowodowania awarii systemu.
W urządzeniu H3C N12 w wersji V100R005 wykryto podatność na przepełnienie bufora w funkcji edycji adresu MAC. Brak weryfikacji długości danych wejściowych umożliwia atakującemu wysłanie spreparowanego żądania POST do /bin/webs, co może prowadzić do awarii urządzenia lub wykonania dowolnego kodu.
Discourse AI to wtyczka do Discourse, która oferuje funkcje oparte na sztucznej inteligencji. W przypadku udostępniania rozmów z Discourse AI Bot w postach, HTML encje mogą wyciekać do aplikacji Discourse, gdy użytkownik odwiedza post z odnośnikiem do tej rozmowy.
W urządzeniu H3C N12 w wersji V100R005 wykryto podatność na przepełnienie bufora w funkcji przetwarzania sieci 5G. Brak weryfikacji długości danych umożliwia atakującemu zdalne spowodowanie awarii urządzenia lub wykonanie dowolnych komend poprzez wysłanie żądania POST do /bin/webs.
W urządzeniu H3C N12 w wersji V100R005 wykryto podatność na przepełnienie bufora w funkcji konfiguracji AP. Brak weryfikacji długości danych umożliwia atakującemu zdalne spowodowanie awarii urządzenia lub wykonanie dowolnych komend poprzez wysłanie żądania POST do /bin/webs.
W urządzeniu H3C N12 w wersji V100R005 wykryto podatność przepełnienia bufora w funkcji aktualizacji adresu MAC. Brak weryfikacji długości danych umożliwia atakującemu zdalne spowodowanie awarii urządzenia lub wykonanie dowolnego kodu poprzez wysłanie żądania POST do /bin/webs.
W urządzeniu H3C N12 w wersji V100R005 wykryto podatność na przepełnienie bufora w funkcji przetwarzania sieci bezprzewodowej 2.4G. Brak weryfikacji długości danych umożliwia atakującemu zdalne spowodowanie awarii urządzenia lub wykonanie dowolnego kodu poprzez wysłanie żądania POST do /bin/webs.
W frameworku uczenia maszynowego Rasa zidentyfikowano podatność, która umożliwia zdalne wykonanie kodu przez atakującego, który ma możliwość załadowania złośliwie przygotowanego modelu do instancji Rasa. Wymaga to włączenia API HTTP oraz braku odpowiednich zabezpieczeń lub posiadania ważnego tokena uwierzytelniającego.

