Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
Oprogramowanie układowe serii Snap One WattBox 800 i 820 w wersjach przed 2.10.0.0 zawiera nieujawnione punkty końcowe diagnostyczne HTTP, które wymagają jedynie adresu MAC urządzenia i tagu serwisowego do uwierzytelnienia. Oba te elementy są wydrukowane w postaci niezaszyfrowanej na etykiecie fizycznej urządzenia.
OpenClaw przed wersją 2026.3.22 zawiera podatność na eskalację uprawnień, gdzie kody konfiguracyjne bootstrap nie są przypisane do zamierzonych ról i zakresów urządzeń podczas parowania. Atakujący mogą wykorzystać to podczas parowania urządzenia w pierwszym użyciu, aby zwiększyć swoje uprawnienia poza zamierzony zakres.
Odbiornik GNSS Carlson VASCO-B nie posiada mechanizmu uwierzytelniania, co pozwala atakującemu z dostępem do sieci na bezpośredni dostęp i modyfikację jego konfiguracji oraz funkcji operacyjnych bez potrzeby posiadania poświadczeń.
Dashboard NVIDIA NVFlare zawiera podatność w systemie zarządzania użytkownikami i uwierzytelnianiem, która pozwala nieautoryzowanemu atakującemu na obejście autoryzacji za pomocą klucza kontrolowanego przez użytkownika. Sukces w wykorzystaniu tej podatności może prowadzić do eskalacji uprawnień, manipulacji danymi, ujawnienia informacji, wykonania kodu oraz odmowy usługi.
Podatność CVE-2026-41873 dotyczy niekonsekwentnej interpretacji żądań HTTP w Pony Mail, co może prowadzić do przejęcia konta administratora. Problem ten występuje we wszystkich wersjach implementacji Lua Pony Mail, która została wycofana.
W StellarGroup HPX 1.11.0 stwierdzono niebezpieczną deserializację niezaufanych danych wejściowych, która w określonych warunkach może umożliwić atakującym zdalne wykonanie dowolnego kodu lub inne nieokreślone skutki.
Podatność CVE-2026-7321 dotyczy błędu w warunkach granicznych w komponencie sieciowym WebRTC, co prowadzi do możliwości ucieczki z piaskownicy.
Wykryto podatność w urządzeniu D-Link DI-8100 w wersji 16.07.26A1, która dotyczy funkcji tgfile_htm w pliku tgfile.htm komponentu CGI Endpoint. Manipulacja argumentem fn prowadzi do przepełnienia bufora, co może być wykorzystane zdalnie.
W urządzeniu Totolink A8000RU w wersji 7.1cu.643_b20200521 odkryto lukę bezpieczeństwa. Problem dotyczy funkcji setWiFiEasyGuestCfg w pliku /cgi-bin/cstecgi.cgi, która umożliwia wstrzyknięcie poleceń systemowych poprzez manipulację argumentem merge.
Zidentyfikowano podatność w urządzeniu Totolink A8000RU w wersji 7.1cu.643_b20200521. Problem dotyczy funkcji setRadvdCfg w pliku /cgi-bin/cstecgi.cgi, gdzie manipulacja argumentem maxRtrAdvInterval prowadzi do wstrzyknięcia poleceń systemowych.
W Totolink A8000RU w wersji 7.1cu.643_b20200521 zidentyfikowano podatność w funkcji setOpenVpnClientCfg w pliku /cgi-bin/cstecgi.cgi. Manipulacja argumentem 'enabled' może prowadzić do wstrzyknięcia poleceń systemowych, co może być przeprowadzone zdalnie.
Wykryto podatność w urządzeniu Totolink A8000RU w wersji 7.1cu.643_b20200521, która dotyczy funkcji setWiFiBasicCfg w pliku /cgi-bin/cstecgi.cgi komponentu CGI Handler. Manipulacja argumentem wifiOff prowadzi do zdalnej iniekcji poleceń systemowych.
Wykryto podatność w urządzeniu Totolink A8000RU w wersji 7.1cu.643_b20200521, która dotyczy funkcji setVpnAccountCfg w pliku /cgi-bin/cstecgi.cgi komponentu CGI Handler. Manipulacja argumentem User prowadzi do wstrzyknięcia poleceń systemowych.
W Totolink A8000RU w wersji 7.1cu.643_b20200521 zidentyfikowano podatność, która dotyczy funkcji setPptpServerCfg w pliku /cgi-bin/cstecgi.cgi komponentu CGI Handler. Manipulacja argumentem enable prowadzi do zdalnego wstrzyknięcia poleceń systemowych.
Wykryto podatność w urządzeniu Totolink A8000RU w wersji 7.1cu.643_b20200521, która dotyczy funkcji setUrlFilterRules w pliku /cgi-bin/cstecgi.cgi komponentu CGI Handler. Manipulacja argumentem enable prowadzi do wstrzyknięcia poleceń systemowych.
Wykryto podatność w urządzeniu Totolink A8000RU 7.1cu.643_b20200521, która dotyczy funkcji setWiFiWpsStart w pliku /cgi-bin/cstecgi.cgi komponentu CGI Handler. Manipulacja argumentem wscDisabled prowadzi do zdalnego wstrzyknięcia poleceń systemowych.
Niektóre wersje oprogramowania układowego kamer Milesight AIOT wykorzystują certyfikaty SSL z domyślnymi kluczami prywatnymi. To może prowadzić do poważnych luk w bezpieczeństwie, umożliwiając nieautoryzowany dostęp do urządzeń.
W pewnych okolicznościach domyślne zabezpieczenia sieciowe Spring Boot są nieskuteczne, umożliwiając nieautoryzowany dostęp do wszystkich endpointów. Podatność dotyczy aplikacji serwletowych, które nie mają własnej konfiguracji Spring Security i polegają na domyślnym łańcuchu filtrów, a także korzystają z spring-boot-actuator-autoconfigure bez spring-boot-health.
Wykryto podatność w urządzeniu Totolink A8000RU w wersji 7.1cu.643_b20200521. Problem dotyczy funkcji CsteSystem w pliku /cgi-bin/cstecgi.cgi, gdzie manipulacja argumentem HTTP prowadzi do zdalnego wstrzyknięcia poleceń systemowych.
Wykryto podatność w urządzeniu Totolink A8000RU 7.1cu.643_b20200521, która dotyczy funkcji setLoginPasswordCfg w pliku /cgi-bin/cstecgi.cgi. Manipulacja argumentem admpass prowadzi do wstrzyknięcia poleceń systemowych.

