Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-35906
Krytyczne

W modelach T3 Technology CPE T625Pro v1.0.07 oraz T6825G v1.0.03 występuje nieudokumentowany punkt końcowy CGI do debugowania, który pozwala nieautoryzowanym atakującym na wykonywanie dowolnych poleceń systemowych jako root poprzez dostarczenie odpowiednio skonstruowanego ciągu zapytania HTTP.

CVE-2026-35905
Krytyczne

Modele T3 Technology CPE T625Pro v1.0.07, T6825G v1.0.03 oraz T7281 v1.0.03 zawierają twardo zakodowane hasło dla dostępu root pod kontem 'superadmin'.

CVE-2026-35904
Krytyczne

Nieprawidłowa kontrola dostępu w interfejsie zarządzania siecią modeli CPE T3 Technology T625Pro v1.0.07, T6825G v1.0.03 oraz T7281 v1.0.03 umożliwia nieautoryzowanym atakującym włączenie usługi Telnet poprzez wysłanie spreparowanego żądania do podatnego komponentu CGI.

CVE-2026-8037
KrytyczneEPSS 94%

Podatność umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnych poleceń systemowych na urządzeniu LoadMaster poprzez wstrzyknięcie poleceń do nieoczyszczonych danych wejściowych w wielu punktach końcowych API.

CVE-2019-25741
Krytyczne

MobaXterm w wersji 12.1 zawiera podatność typu przepełnienie bufora opartą na obsłudze wyjątków (SEH) w polu nazwy użytkownika plików sesji. Umożliwia to zdalnym atakującym wykonanie dowolnego kodu poprzez przygotowanie złośliwego pliku sesji MobaXterm, który wywołuje tę podatność podczas importu i wykonania.

CVE-2019-25738
Krytyczne

WordPress Hybrid Composer w wersji 1.4.6 zawiera podatność na nieautoryzowaną zmianę ustawień, która pozwala atakującym na modyfikację opcji WordPressa. Wykorzystując akcję hc_ajax_save_option, atakujący mogą wysyłać żądania POST do punktu końcowego admin-ajax.php, co umożliwia włączenie rejestracji użytkowników oraz ustawienie domyślnej roli na administratora.

CVE-2019-25729
Krytyczne

PDF Signer 3.0 zawiera podatność na wstrzykiwanie szablonów po stronie serwera, która pozwala nieautoryzowanym atakującym na wykonanie dowolnego kodu poprzez wstrzykiwanie poleceń PHP za pomocą parametru cookie CSRF-TOKEN. Atakujący mogą stworzyć złośliwe wartości cookie zawierające ładunki wstrzykujące, takie jak shell_exec(), aby wykonywać polecenia systemowe.

CVE-2019-25727
Krytyczne

Wtyczka WordPress ad manager w wersji 1.0.11 zawiera podatność na pobieranie dowolnych plików, która pozwala nieautoryzowanym atakującym na pobieranie wrażliwych plików poprzez manipulację parametrem ścieżki. Atakujący mogą wysyłać żądania GET do punktu końcowego edit.php z parametrem export=export_csv oraz złośliwym parametrem ścieżki, aby odczytać dowolne pliki, takie jak wp-config.php, dostępne dla serwera WWW.

CVE-2026-4104
Krytyczne

Podatność CVE-2026-4104 dotyczy TeknoPass i polega na obejściu autoryzacji poprzez kontrolowany przez użytkownika klucz główny SQL, co umożliwia atak SQL Injection. Problem ten występuje w wersjach od 20210501 do 20260429.

CVE-2026-50225
Krytyczne

Ścieżka rejestracji /v1/account/register nie posiada mechanizmów przeciwdziałających botom, co umożliwia złośliwym systemom automatycznym zalewanie bazy danych.

CVE-2026-50214
Krytyczne

Usługa /v1/Plan polega całkowicie na wspólnym globalnym tokenie API do pełnego zarządzania administracyjnego, co umożliwia dowolne tworzenie planów dostępu do sieci bez kosztów.

CVE-2026-50211
Krytyczne

Na wersjach detalicznych pozostają wystawione na działanie złośliwego oprogramowania diagnostyka inżynieryjna oraz oprogramowanie diagnostyczne na poziomie fabrycznym, co umożliwia złośliwym aplikacjom uzyskanie uprawnień do zapisu w wewnętrznych rejestrach NVRAM.

CVE-2026-50208
Krytyczne

Routines TrustAllCerts o wysokim ryzyku wyłączają standardową walidację certyfikatów TLS. W połączeniu z zakodowanymi kluczami szyfrowania DES, atakujący typu Man-in-the-Middle (MITM) mógłby odszyfrować ruch sieciowy.

CVE-2026-49191
Krytyczne

Produkcja M3WebServer zawiera twardo zakodowane klucze API backendu, które mogą być łatwo przechwycone poprzez szczegółowe strony błędów.

CVE-2026-49188
Krytyczne

Narzędzie ai_cmd działa z pełnymi uprawnieniami roota i przekazuje dane z gniazd do funkcji popen(). To umożliwia nieautoryzowanym użytkownikom wykonywanie dowolnych poleceń z uprawnieniami roota.

CVE-2026-49186
Krytyczne

Lokalny broker MQTT nie egzekwuje list kontroli dostępu (ACL) na poziomie tematów. Umożliwia to dowolnemu klientowi subskrybowanie z użyciem znaków wieloznacznych (# lub +), co pozwala na enumerację ukrytych urządzeń sieciowych lub publikowanie nieautoryzowanych poleceń kontrolnych.

CVE-2026-49185
Krytyczne

Podatność CVE-2026-49185 dotyczy tematu wiadomości adb w FieldX MDM, który przekazuje niezweryfikowane dane bezpośrednio do Runtime.exec(), co umożliwia wstrzykiwanie poleceń lub instrukcji.

CVE-2026-41283
Krytyczne

Podatność w OpenStack Mistral do wersji 22.0.0 umożliwia zdalne wykonanie dowolnego kodu, gdy API jest wystawione na zewnątrz. Istnieją punkty końcowe, które pozwalają na wykonanie kodu, co może prowadzić do wycieku poświadczeń usługi.

CVE-2026-46266
Krytyczne

W jądrze systemu Linux zidentyfikowano podatność, która dotyczy gniazd RAW używających protokołu IPPROTO_RAW. Złośliwy pakiet ICMP może doprowadzić do nieautoryzowanych zmian w pamięci podręcznej FNHE.

CVE-2026-46244
Krytyczne

W jądrze Linux w wersjach od 6.2 wykryto podatność w module netfilter nft_inner. Podczas przetwarzania wewnętrznych pakietów IPv6, poprawnie obliczone przesunięcie nagłówka transportowego jest nadpisywane stałą wartością 40 bajtów, co powoduje desynchronizację między przesunięciem a protokołem warstwy transportowej. Umożliwia to fałszowanie nagłówków transportowych i potencjalne ominięcie zapory sieciowej.

PoprzedniaStrona 55 z 559Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS