Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-34110
Krytyczne

Podatność w systemie Guardian language-system pozwala nieuwierzytelnionemu atakującemu na zdalne wykonanie dowolnych poleceń systemu operacyjnego poprzez wstrzyknięcie metaznaków powłoki do parametru 'id' przekazywanego bez sanityzacji do funkcji PHP exec() w pliku complex_start.php.

CVE-2026-34109
Krytyczne

Podatność w systemie językowym Guardian polega na przekazywaniu parametru GET 'id' bezpośrednio do funkcji PHP exec() w pliku speech.php bez sanitizacji. Niezautoryzowany atakujący może dołączyć metaznaki powłoki i wykonać dowolne polecenia systemowe na serwerze.

CVE-2026-34108
Krytyczne

Podatność w systemie Guardian language-system pozwala nieuwierzytelnionemu atakującemu na zdalne wykonanie dowolnych poleceń systemu operacyjnego poprzez wstrzyknięcie metaznaków powłoki do parametru id przekazywanego do funkcji exec() w pliku text.php.

CVE-2026-34107
Krytyczne

Podatność w systemie językowym Guardian polega na przekazywaniu parametru GET 'id' bezpośrednio do funkcji PHP exec() w pliku translate.php (linia 14) bez sanityzacji. Niezautoryzowany atakujący zdalny może dołączyć metaznaki powłoki, aby wykonać dowolne polecenia systemu operacyjnego na serwerze.

CVE-2026-34106
Krytyczne

Podatność w systemie językowym Guardian polega na bezpośrednim przekazaniu parametru id z żądania GET do funkcji PHP exec() w pliku subtitles.php bez sanitizacji. Niezautoryzowany atakujący może dołączyć znaki specjalne powłoki do parametru id, co umożliwia wykonanie dowolnych poleceń systemu operacyjnego na serwerze.

CVE-2026-34105
Krytyczne

Podatność SQL Injection w komponencie Guardian language-system pozwala uwierzytelnionemu atakującemu na wstrzyknięcie złośliwego kodu SQL poprzez parametr 'id' w pliku translate_text.php. Brak sanityzacji danych wejściowych umożliwia ekstrakcję zawartości bazy danych przy użyciu techniki error-based SQL injection.

CVE-2026-34104
Krytyczne

Podatność SQL Injection w systemie Guardian language-system pozwala uwierzytelnionemu atakującemu na wstrzyknięcie kodu SQL poprzez parametr GET 'name' w pliku designer.php. Brak sanityzacji danych wejściowych umożliwia wykonanie dowolnych zapytań SQL i ekstrakcję zawartości bazy danych.

CVE-2026-34103
Krytyczne

Podatność SQL Injection w komponencie Guardian language-system pozwala uwierzytelnionemu atakującemu na wstrzyknięcie złośliwego kodu SQL poprzez parametr 'id' w skrypcie subtitles.php. Brak sanityzacji danych wejściowych umożliwia ekstrakcję zawartości bazy danych przy użyciu techniki error-based SQL injection.

CVE-2026-34102
Krytyczne

Podatność SQL Injection w Guardian language-system występuje w pliku job_info_get.php, gdzie parametr GET 'id' jest bezpośrednio wstawiany do zapytania SQL bez sanityzacji. Uwierzytelniony atakujący może wykorzystać błąd SQL Injection do wyodrębnienia zawartości bazy danych.

CVE-2026-34101
Krytyczne

Podatność SQL Injection w komponencie Guardian language-system pozwala uwierzytelnionemu atakującemu na wstrzyknięcie kodu SQL poprzez parametr id w pliku text_file.php. Brak sanityzacji danych wejściowych umożliwia ekstrakcję zawartości bazy danych.

CVE-2026-34100
Krytyczne

Podatność SQL Injection w komponencie Guardian language-system pozwala uwierzytelnionemu atakującemu na wstrzyknięcie złośliwego kodu SQL poprzez parametr id w pliku media.php. Brak sanityzacji danych wejściowych umożliwia ekstrakcję zawartości bazy danych za pomocą ataku opartego na błędach.

CVE-2026-34099
Krytyczne

Podatność SQL Injection w systemie Guardian language-system pozwala nieuwierzytelnionemu atakującemu na wstrzyknięcie kodu SQL poprzez parametr 'id' w pliku job_info.php. Brak sanityzacji danych wejściowych umożliwia odczyt wrażliwych danych z bazy.

CVE-2026-58127
KrytyczneEPSS 51%

Podatność w PACSgear MediaWriter 5.2.1 polega na braku uwierzytelnienia w usłudze .NET Remoting TCP na porcie 9000. Niezautoryzowany atakujący może zdalnie odczytywać i zapisywać dowolne pliki w systemie plików hosta, a następnie wykorzystać brakujące biblioteki DLL do zdalnego wykonania kodu jako SYSTEM.

CVE-2026-58126
KrytyczneEPSS 50%

PACSgear PACS Scan 5.2.1 zawiera nieuwierzytelnioną podatność zdalnego wykonania kodu, umożliwiającą atakującym odczyt i zapis dowolnych plików poprzez wykorzystanie odsłoniętego serwisu .NET Remoting TCP na porcie 22222 w procesie PGImageExchQueue.exe. Atakujący mogą połączyć dowolny zapis plików z przejęciem bibliotek DLL w PGImageExchangeQueueSvc.exe, który ładuje brakujące biblioteki, takie jak CRYPTSP.DLL, z katalogu aplikacji, co prowadzi do zdalnego wykonania kodu jako NT Authority\SYSTEM po restarcie usługi.

CVE-2026-57517
Krytyczne

Control Web Panel przed wersją 0.9.8.1225 zawiera podatność na ślepe wstrzykiwanie SQL, która pozwala nieuwierzytelnionym zdalnym atakującym na wykonanie dowolnych zapytań SQL poprzez przesłanie niesprawdzonego wejścia w parametrze userRes w punkcie końcowym user. Atakujący mogą wykorzystać uzyskane w ten sposób uprawnienia root MySQL do zapisu dowolnych plików za pomocą INTO DUMPFILE, co umożliwia wdrożenie webshella PHP do katalogu logów roundcube dostępnego z poziomu sieci i uzyskanie zdalnego wykonania kodu jako konto cwpsvc.

CVE-2026-24270
KrytyczneEPSS 53%

Framework NVIDIA AIStore zawiera podatność umożliwiającą ominięcie uwierzytelniania. Udany atak może prowadzić do odmowy usługi, eskalacji uprawnień, ujawnienia informacji oraz manipulacji danymi.

CVE-2025-23351
Krytyczne

Podatność w interfejsie poleceń kart NVIDIA ConnectX i BlueField umożliwia lokalnemu użytkownikowi z dostępem do funkcji wirtualnej (VF) spowodowanie zapisu poza dozwolonym obszarem pamięci poprzez spreparowane dane wejściowe. Udane wykorzystanie może prowadzić do wykonania dowolnego kodu na urządzeniu.

CVE-2025-23350
Krytyczne

Podatność w interfejsie poleceń kart NVIDIA ConnectX i BlueField umożliwia lokalnemu użytkownikowi z dostępem do funkcji wirtualnej (VF) zapis poza dozwolonym obszarem pamięci poprzez spreparowane dane wejściowe. Udane wykorzystanie może prowadzić do wykonania dowolnego kodu na urządzeniu.

CVE-2025-15646
Krytyczne

Podatność w bibliotece HTML::Gumbo dla Perla przed wersją 0.19 powoduje ujawnienie pamięci sterty przez pomyłkę typu. Funkcja walk_tree nie obsługuje elementu <template>, traktując go jako węzeł tekstowy, co prowadzi do nadmiernego odczytu sterty przez strlen().

CVE-2026-23537
Krytyczne

W endpointcie `/save-document` serwera Feast Feature Server wykryto podatność, która pozwala nieuwierzytelnionemu zdalnemu atakującemu zapisywać dowolne pliki JSON w systemie plików serwera. Mimo prób ograniczenia lokalizacji plików, zabezpieczenia te można obejść, co umożliwia nadpisanie krytycznych konfiguracji aplikacji lub skryptów startowych.

PoprzedniaStrona 5 z 554Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS