Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2025-69599
Krytyczne

Silnik skanowania RayVentory w wersji do 12.6 Update 8 pozwala atakującym na uzyskanie uprawnień, jeśli kontrolują wartość zmiennej środowiskowej PATH. Istnieją kontrowersje dotyczące tej podatności, ponieważ możliwość kontrolowania środowiska zależy od specyficznej konfiguracji danego miejsca.

CVE-2025-67887
Krytyczne

1C-Bitrix w wersji 25.100.500 umożliwia zdalne wykonanie kodu, ponieważ użytkownik z uprawnieniami SOURCE/WRITE dla modułu Tłumaczeń może przesłać i wykonać kod, wysyłając plik PHP oraz plik .htaccess.

CVE-2023-46453
Krytyczne

Niektóre urządzenia GL.iNet z firmware 4.x umożliwiają obejście uwierzytelniania, co prowadzi do uzyskania administracyjnej kontroli nad urządzeniem. Problem ten dotyczy wersji 4.3.7 na modelach GL-MT3000, GL-AR300M, GL-B1300, GL-AX1800, GL-AR750S, GL-MT2500, GL-AXT1800, GL-X3000 oraz GL-SFT1200.

CVE-2024-51092
Krytyczne

LibreNMS w wersjach przed 24.10.0 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu poprzez wstrzyknięcie poleceń systemowych w metodach index() w AboutController.php, update() w SettingsController.php oraz initRrdDirectory() w PollDevice.php.

CVE-2026-43944
Krytyczne

Electerm, klient terminala/ssh/sftp/telnet/serialport/RDP/VNC/Spice/ftp, jest podatny na wykonanie dowolnego kodu lokalnego w wersjach od 3.0.6 do przed 3.8.15. Wykorzystanie podatności wymaga kliknięcia w spreparowany link electerm://... lub otwarcia spreparowanego skrótu/komendy.

CVE-2026-43941
Krytyczne

Electerm to klient terminala, który w wersjach 3.8.15 i wcześniejszych nie weryfikuje protokołów URL klikanych w terminalu. Atakujący mogą wykorzystać to do wykonania dowolnego kodu lub uzyskania dostępu do lokalnych plików na maszynie ofiary, jeśli ta kliknie w wyświetlony link.

CVE-2026-42208
KrytyczneAktywnie exploitowaneEPSS 100%

W wersjach LiteLLM od 1.81.16 do 1.83.7 występuje podatność polegająca na wstrzykiwaniu zapytań SQL podczas sprawdzania kluczy API. Niezautoryzowany atakujący może wysłać spreparowany nagłówek Authorization, co prowadzi do odczytu i potencjalnej modyfikacji danych w bazie proxy.

CVE-2026-41501
Krytyczne

W kliencie electerm przed wersją 3.3.8 występuje podatność na wstrzykiwanie poleceń, która pozwala atakującemu na dodanie złośliwych ciągów wersji do polecenia exec bez walidacji. Problem ten został naprawiony w wersji 3.3.8.

CVE-2026-41500
Krytyczne

W kliencie electerm przed wersją 3.3.8 występuje podatność na wstrzykiwanie poleceń, która pozwala atakującemu na wprowadzenie złośliwego kodu do polecenia exec. Problem ten został naprawiony w wersji 3.3.8.

CVE-2026-42880
Krytyczne

W Argo CD w wersjach od 3.2.0 do 3.2.10 oraz od 3.3.0 do 3.3.8 brakuje autoryzacji i maskowania danych w punkcie końcowym ServerSideDiff. Umożliwia to atakującemu z dostępem tylko do odczytu wyodrębnienie danych Secret w postaci jawnego tekstu z etcd za pomocą mechanizmu Server-Side Apply dry-run serwera Kubernetes API.

CVE-2026-8034
Krytyczne

Zidentyfikowano podatność typu server-side request forgery (SSRF) w podglądzie notatników GitHub Enterprise Server, która pozwalała atakującemu na dostęp do wewnętrznych usług poprzez wykorzystanie niezgodności parsera URL między warstwą walidacji a biblioteką żądań HTTP.

CVE-2026-7891
Krytyczne

Aplikacja VerySecureApp stworzona przez DIVD przy użyciu Mendix Studio Pro 11.8.0 Beta umożliwia niezamierzone ujawnienie danych z powodu błędnej konfiguracji autoryzacji. Użytkownicy anonimowi w module MyFirstModule mogą uzyskać dostęp do wszystkich zapisanych rekordów, mimo że nie przypisano im wyraźnych praw dostępu.

CVE-2026-42826
Krytyczne

W Azure DevOps występuje podatność, która umożliwia nieautoryzowanemu atakującemu ujawnienie wrażliwych informacji przez sieć.

CVE-2026-35428
Krytyczne

Nieprawidłowe neutralizowanie specjalnych elementów używanych w poleceniach ('iniekcja poleceń') w Azure Cloud Shell umożliwia nieautoryzowanemu atakującemu przeprowadzenie spoofingu w sieci.

CVE-2026-33844
Krytyczne

Nieprawidłowa kontrola dostępu w Azure Managed Instance dla Apache Cassandra umożliwia autoryzowanemu atakującemu wykonanie kodu przez sieć.

CVE-2026-33823
Krytyczne

Nieprawidłowa autoryzacja w Microsoft Teams umożliwia autoryzowanemu atakującemu ujawnienie informacji w sieci.

CVE-2026-33109
Krytyczne

Nieprawidłowa kontrola dostępu w Azure Managed Instance dla Apache Cassandra pozwala autoryzowanemu atakującemu na wykonanie kodu przez sieć.

CVE-2026-41902
Krytyczne

FreeScout przed wersją 1.8.217 ma lukę w punkcie końcowym /user-setup/{hash}, który akceptuje 60-znakowy losowy invite_hash do ustawienia hasła nowego użytkownika. Brak weryfikacji wygaszenia hasha pozwala na nieautoryzowane przejęcie konta przez długi czas po wydaniu zaproszenia.

CVE-2026-37709
Krytyczne

W podatności o nazwie CVE-2026-37709 występuje niebezpieczna konfiguracja uprawnień w grokability snipe-it w wersji 8.4.0 i wcześniejszych, która została naprawiona po commitcie 676a9958 z dnia 10 marca 2026 roku. Umożliwia to zdalnemu atakującemu wykonanie dowolnego kodu za pośrednictwem komponentu app/Http/Controllers/Api/UploadedFilesController.php.

CVE-2026-7415
Krytyczne

Broker MQTT w oprogramowaniu Yarbo w wersji 2.3.9 jest skonfigurowany do zezwalania na anonimowe połączenia bez kontroli dostępu na poziomie tematów. Każdy host w tej samej sieci może subskrybować wrażliwe tematy telemetryczne lub publikować wiadomości kontrolne bez jakiejkolwiek autoryzacji.

PoprzedniaStrona 86 z 560Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS