Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-8072
Krytyczne

W lokalnej funkcjonalności dostępu SAT (Wsparcie Techniczne) w płycie Ingecon Sun EMS występuje niebezpieczne generowanie poświadczeń. Podatność wynika z faktu, że tajne poświadczenia dostępu nie są oparte na bezpiecznym schemacie kryptograficznym, lecz na słabym algorytmie haszującym.

CVE-2026-7428
Krytyczne

Przed 2025-11-03 użytkownicy Terraform lub REST API dla Google Cloud AlloyDB dla PostgreSQL mogli stworzyć klastry z niebezpiecznym domyślnym hasłem, co mogło zostać wykorzystane przez zdalnego atakującego do uzyskania pełnego dostępu administracyjnego do bazy danych.

CVE-2026-41551
Krytyczne

Zidentyfikowano podatność w ROS# (wszystkie wersje < V2.2.2) związaną z przejściem ścieżki, ponieważ dane wejściowe użytkownika nie są odpowiednio filtrowane. Może to umożliwić zdalnemu atakującemu dostęp do dowolnych plików na urządzeniu.

CVE-2026-25787
Krytyczne

Urządzenia dotknięte tą podatnością nieprawidłowo walidują i oczyszczają nazwę obiektu technologicznego (TO) wyświetlaną na stronie diagnostyki sterowania ruchem w interfejsie webowym. Umożliwia to uwierzytelnionemu atakującemu, który ma uprawnienia do pobrania projektu TIA, wstrzyknięcie złośliwych skryptów na stronę.

CVE-2026-25786
Krytyczne

Urządzenia dotknięte tą podatnością nieprawidłowo walidują i sanitizują nazwę PLC/stacji wyświetlaną na stronie parametrów 'komunikacji' w interfejsie webowym. Umożliwia to uwierzytelnionemu atakującemu, który ma uprawnienia do pobrania projektu TIA, wstrzyknięcie złośliwych skryptów na stronę.

CVE-2026-22924
Krytyczne

Podatność w SIMATIC CN 4100 (wersje przed V5.0) pozwala nieuwierzytelnionym atakującym na wyczerpanie zasobów poprzez nieograniczone połączenia. Może to prowadzić do zakłócenia normalnej pracy urządzenia.

CVE-2025-6577
Krytyczne

W podatności CVE-2025-6577 występuje niewłaściwe neutralizowanie specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości wstrzyknięcia SQL w oprogramowaniu Akilli Commerce. Problem dotyczy strony internetowej e-commerce w wersjach przed 4.5.001.

CVE-2025-40949
Krytyczne

Podatność w RUGGEDCOM ROX pozwala uwierzytelnionemu zdalnie atakującemu na wstrzyknięcie komend do harmonogramu zadań przez interfejs WWW. Brak odpowiedniej sanityzacji danych wejściowych umożliwia wykonanie dowolnych poleceń z uprawnieniami roota.

CVE-2026-34263
Krytyczne

Z powodu niewłaściwej konfiguracji Spring Security, SAP Commerce Cloud pozwala na wstrzykiwanie złośliwych danych przez nieautoryzowanego użytkownika, co prowadzi do wykonania dowolnego kodu po stronie serwera.

CVE-2026-34260
Krytyczne

SAP S/4HANA (SAP Enterprise Search for ABAP) zawiera podatność na wstrzykiwanie SQL, która pozwala uwierzytelnionemu atakującemu na wstrzyknięcie złośliwych instrukcji SQL poprzez dane wejściowe kontrolowane przez użytkownika. Aplikacja bezpośrednio łączy te złośliwe dane wejściowe z zapytaniami SQL, które są następnie przekazywane do bazy danych bez odpowiedniej walidacji lub oczyszczania.

CVE-2026-45321
KrytyczneAktywnie exploitowane

W dniu 11 maja 2026 roku opublikowano 84 złośliwe wersje w 42 pakietach @tanstack/* w rejestrze npm. Atakujący wykorzystał trzy znane klasy podatności, aby opublikować złośliwe oprogramowanie kradnące dane uwierzytelniające pod zaufaną tożsamością.

CVE-2026-43900
Krytyczne

W DeepChat, przed wersją 1.0.4-beta.1, występuje podatność typu Cross-Site Scripting (XSS) spowodowana niezgodnością między warstwą walidacji backendu a silnikiem renderującym przeglądarki. Atakujący może wykorzystać tę lukę do wykonania dowolnego kodu JavaScript poprzez manipulację elementami SVG.

CVE-2026-43899
Krytyczne

DeepChat przed wersją 1.0.4-beta.1 jest podatny na obejście zabezpieczeń związanych z wykonywaniem protokołów, co może prowadzić do zdalnego wykonania kodu (RCE). Problem wynika z niewłaściwego sanitizowania obsługi okien pop-up w Electronie, co pozwala atakującemu na przechwycenie złośliwego URL.

CVE-2026-42882
Krytyczne

W wersjach przed 5.0.0, s3-proxy zawiera lukę w autoryzacji spowodowaną niespójnością w interpretacji ścieżek URL między middleware autoryzacyjnym a handlerem bucketów. Ta luka pozwala nieautoryzowanym atakującym na dostęp do chronionych przestrzeni S3.

CVE-2026-42869
Krytyczne

W wersjach przed 0.1.57, SOCFortress CoPilot zawierał twardo zakodowany sekret do podpisywania JWT, co umożliwiało atakującym fałszowanie tokenów administracyjnych. W przypadku, gdy JWT_SECRET nie jest ustawiony, wszystkie tokeny uwierzytelniające są podpisywane tym publicznie znanym kluczem.

CVE-2026-42864
Krytyczne

Aplikacja FireFighter do zarządzania incydentami ma lukę, która pozwala na dostęp do punktu końcowego POST /api/v2/firefighter/raid/jira_bot bez uwierzytelnienia. Umożliwia to nieautoryzowanym użytkownikom wymuszenie pobierania dowolnych URL-i i przesyłanie ich jako załączników do zgłoszeń w Jira.

CVE-2026-43995
Krytyczne

Flowise to interfejs typu drag & drop do budowania dostosowanych przepływów dużych modeli językowych. W wersjach przed 3.1.0, kilka implementacji narzędzi bezpośrednio importuje i wywołuje surowe klienty HTTP, co stwarza lukę bezpieczeństwa.

CVE-2026-38567
Krytyczne

HireFlow v1.2 jest podatny na atak typu SQL injection w punktach końcowych /login i /search. Wprowadzone przez użytkownika dane są bezpośrednio łączone z zapytaniami SQL bez parametryzacji.

CVE-2026-7813
Krytyczne

Podatność autoryzacji w trybie serwera pgAdmin 4 umożliwia dostęp do prywatnych obiektów innych użytkowników bez odpowiedniego filtrowania. Użytkownik uwierzytelniony może uzyskać dostęp do prywatnych serwerów, grup serwerów oraz procesów w tle innych użytkowników poprzez odgadnięcie identyfikatorów obiektów.

CVE-2026-44643
Krytyczne

Angular Expressions, używane w frameworku Angular.JS, przed wersją 1.5.2, pozwalały atakującemu na napisanie złośliwej ekspresji, która mogła wydostać się z piaskownicy i wykonać dowolny kod na systemie.

PoprzedniaStrona 82 z 560Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS