Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-40330
Krytyczne

W systemie zarządzania treścią Masa CMS występuje podatność na wstrzykiwanie SQL w komponentach beanFeed.cfc w wersjach 7.2.0-7.2.9, 7.3.0-7.3.14, 7.4.0-7.4.9 oraz 7.5.0-7.5.2. Parametr sortDirection jest łączony bezpośrednio w zapytania SQL bez sanitizacji, co umożliwia atakującym zdalne wydobycie wrażliwych informacji lub modyfikację danych.

CVE-2026-40329
Krytyczne

W systemie zarządzania treścią Masa CMS w wersjach 7.5.2 i wcześniejszych występuje podatność na wstrzykiwanie SQL w komponencie beanFeed.cfc, w funkcji getQuery, związana z parametrem sortBy. Aplikacja nieprawidłowo sanitizuje ten parametr, co pozwala na wykonanie dowolnych poleceń SQL przez nieautoryzowanego atakującego.

CVE-2026-34084
Krytyczne

PhpSpreadsheet to biblioteka do odczytu i zapisu plików arkuszy kalkulacyjnych. W wersjach 1.30.2 i wcześniejszych, 2.0.0 do 2.1.14, 2.2.0 do 2.4.3, 3.3.0 do 3.10.3 oraz 4.0.0 do 5.5.0, atakujący może dostarczyć ścieżkę wrappera strumienia PHP, co może prowadzić do zdalnego wykonania kodu.

CVE-2026-7854
Krytyczne

Wykryto podatność w D-Link DI-8100 w wersji 16.07.26A1, która dotyczy funkcji url_rule_asp w pliku /url_rule.asp komponentu POST Parameter Handler. Manipulacja tą funkcją prowadzi do przepełnienia bufora.

CVE-2026-38428
Krytyczne

Kestra w wersji 1.3.3 i wcześniejszych jest podatna na atak typu SQL Injection. Podatność występuje, ponieważ dane wejściowe kontrolowane przez użytkownika z parametru GET są bezpośrednio łączone z zapytaniem SQL bez odpowiedniej sanitizacji lub parametryzacji.

CVE-2026-27960
Krytyczne

W OpenCTI, w wersjach od 6.6.0 do 6.9.12, występuje podatność na eskalację uprawnień, która może być wykorzystana przez nieautoryzowanych atakujących do zapytań do API jako dowolny istniejący użytkownik, w tym domyślne konto administratora.

CVE-2026-7853
Krytyczne

Zidentyfikowano słabość w urządzeniu D-Link DI-8100 w wersji 16.07.26A1, dotyczącą funkcji sprintf w pliku /auto_reboot.asp komponentu HTTP Handler. Manipulacja argumentem enable/time prowadzi do przepełnienia bufora, co umożliwia zdalne przeprowadzenie ataku.

CVE-2026-38431
Krytyczne

ERPNext w wersji 15.103.1 i wcześniejszych jest podatny na wstrzykiwanie szablonów po stronie serwera (SSTI). Atakujący z uprawnieniami do tworzenia lub edytowania szablonów e-mail może wstrzykiwać wyrażenia szablonów, które są wykonywane na serwerze podczas renderowania szablonu.

CVE-2026-38429
Krytyczne

OpenCMS w wersji 20 i wcześniejszych jest podatny na atak typu XML External Entity (XXE) w funkcji importu bazy danych w panelu administracyjnym, z powodu niebezpiecznego parsowania XML w dostarczonych przez użytkownika plikach .zip zawierających manifest.xml.

CVE-2026-7411
Krytyczne

W wersjach Eclipse BaSyx Java Server SDK przed 2.0.0-milestone-10 występuje niewłaściwa normalizacja ścieżek w API HTTP Submodel, co pozwala nieautoryzowanemu zdalnemu atakującemu na przeprowadzenie ataku typu path traversal. Atakujący może dostarczyć złośliwie skonstruowany parametr fileName podczas operacji przesyłania plików, co umożliwia zapisanie dowolnych plików w systemie plików hosta.

CVE-2026-43071
Krytyczne

W jądrze systemu Linux zidentyfikowano podatność związana z odczytem poza granicami (OOB) w dentry_hashtable, gdy użytkownik ustawia 'dhash_entries=1'. Problem ten prowadzi do błędu strony w trybie jądra, co może skutkować nieprzewidzianym dostępem do pamięci.

CVE-2026-43067
Krytyczne

W jądrze Linuxa rozwiązano podatność w systemie plików ext4, która dotyczyła obsługi przepełnienia podczas wyszukiwania bloków dla plików z mapowaniem pośrednim. Zmiana w kodzie ogranicza alokację bloków do numerów mieszczących się w 32-bitowych numerach bloków.

CVE-2026-7834
Krytyczne

Wykryto podatność w EFM ipTIME NAS1dual 1.5.24, która dotyczy funkcji get_csrf_whites w pliku /cgi/advanced/misc_main.cgi. Manipulacja tą funkcją prowadzi do przepełnienia bufora na stosie.

CVE-2026-36356
KrytyczneEPSS 96%

W serwerze WWW GoAhead na urządzeniach MeiG Smart FORGE_SLT711 (oprogramowanie MDM9607.LE.1.0-00110-STD.PROD-1) wykryto podatność na wstrzykiwanie poleceń systemu operacyjnego bez uwierzytelniania. Atak jest możliwy przez endpoint /action/SetRemoteAccessCfg.

CVE-2026-34408
Krytyczne

W systemie Gambio w wersji 4.9.2.0 odkryto problem, który pozwala na ominięcie funkcji resetowania hasła, umożliwiając ustawienie dowolnych haseł dla dowolnych kont, jeśli znany jest identyfikator konta.

CVE-2026-43566
Krytyczne

Wersje OpenClaw 2026.4.7 przed 2026.4.14 zawierają podatność na eskalację uprawnień, w której logika obniżania uprawnień właściciela pomija zdarzenia webhook wake zawierające nieufne treści. Atakujący mogą wykorzystać tę lukę, wysyłając nieufne zdarzenia webhook wake, aby zachować kontekst wykonania podobny do właściciela, gdy powinno nastąpić obniżenie uprawnień.

CVE-2026-43534
Krytyczne

OpenClaw w wersjach przed 2026.4.10 zawiera podatność na niewłaściwą walidację danych wejściowych, która pozwala na dodawanie zewnętrznych metadanych hooków jako zaufanych zdarzeń systemowych. Atakujący mogą dostarczyć złośliwe nazwy hooków, co umożliwia eskalację niezaufanych danych do kontekstu agenta o wyższym poziomie zaufania.

CVE-2023-54344
Krytyczne

Eclipse Equinox OSGi w wersji 3.7.2 i wcześniejszych zawiera podatność na zdalne wykonanie kodu, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych poleceń poprzez wysyłanie ładunków do interfejsu konsoli. Atakujący mogą połączyć się z portem konsoli OSGi i wysyłać polecenia bash zakodowane w base64, co prowadzi do wykonania kodu i nawiązania połączeń zwrotnych.

CVE-2023-54342
Krytyczne

Eclipse Equinox OSGi w wersjach od 3.8 do 3.18 zawiera podatność na zdalne wykonanie kodu w interfejsie konsoli, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnego kodu poprzez wykorzystanie funkcjonalności polecenia fork. Atakujący mogą nawiązać połączenie telnet z konsolą OSGi, przeprowadzić handshake telnet i wysłać polecenia fork w celu pobrania i wykonania złośliwego kodu Java, co prowadzi do ustanowienia połączenia reverse shell.

CVE-2026-40797
Krytyczne

W podatności CVE-2026-40797 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w aplikacji WebinarIgnition.

PoprzedniaStrona 89 z 560Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS