Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-1950
Krytyczne

Delta Electronics AS320T ma podatność związaną z brakiem sprawdzania długości bufora przy nazwie pliku.

CVE-2026-1949
Krytyczne

Delta Electronics AS320T ma błędne obliczanie rozmiaru bufora na stosie w obsłudze żądań GET/PUT w usłudze internetowej.

CVE-2026-33078
Krytyczne

Roxy-WI to interfejs webowy do zarządzania serwerami Haproxy, Nginx, Apache i Keepalived. Wersje przed 8.2.6.4 zawierają podatność na wstrzykiwanie SQL w funkcji haproxy_section_save, gdzie parametr server_ip jest przekazywany niesanitarnie do zapytania SQL.

CVE-2026-33076
Krytyczne

Roxy-WI to interfejs webowy do zarządzania serwerami Haproxy, Nginx, Apache i Keepalived. W wersjach przed 8.2.6.4 interfejs haproxy_section_save zawierał podatność, która mogła prowadzić do zdalnego wykonania kodu z powodu przejścia przez ścieżkę i zapisywania w zadaniach zaplanowanych.

CVE-2026-40630
Krytyczne

Podatność w interfejsie zarządzania siecią SenseLive X3050 umożliwia nieautoryzowany dostęp do niektórych punktów konfiguracyjnych z powodu niewłaściwego egzekwowania kontroli dostępu. Atakujący z dostępem do sieci urządzenia może obejść zamierzony mechanizm uwierzytelniania i bezpośrednio interagować z wrażliwymi funkcjami konfiguracyjnymi.

CVE-2026-40620
Krytyczne

Podatność w wbudowanej usłudze zarządzania SenseLive X3050 umożliwia uzyskanie pełnej kontroli administracyjnej bez jakiejkolwiek formy uwierzytelnienia lub autoryzacji w aplikacji konfiguracyjnej SenseLive. Usługa akceptuje połączenia zarządzające z dowolnego dostępnego hosta, co pozwala na nieograniczoną modyfikację krytycznych parametrów konfiguracyjnych, trybów operacyjnych i stanu urządzenia za pomocą dostarczonego przez producenta lub kompatybilnego klienta.

CVE-2026-35503
Krytyczne

Podatność w interfejsie zarządzania siecią SenseLive X3050 pozwala na przeprowadzenie logiki uwierzytelniania całkowicie po stronie klienta, opierając się na zakodowanych wartościach w skryptach wykonywanych w przeglądarce, zamiast na weryfikacji po stronie serwera. Atakujący mający dostęp do strony logowania może uzyskać te ujawnione parametry i zdobyć nieautoryzowany dostęp do funkcji administracyjnych.

CVE-2026-27843
Krytyczne

W interfejsie zarządzania siecią SenseLive X3050 występuje podatność, która pozwala na modyfikację krytycznych parametrów konfiguracyjnych bez odpowiedniej autoryzacji lub walidacji po stronie serwera. Atakujący może wprowadzić nieobsługiwane wartości, co prowadzi do trwałego zablokowania urządzenia.

CVE-2026-25775
Krytyczne

Podatność w usłudze zdalnego zarządzania SenseLive X3050 umożliwia pobieranie i aktualizację oprogramowania bez uwierzytelnienia lub autoryzacji. Usługa akceptuje żądania związane z oprogramowaniem z dowolnego dostępnego hosta, nie weryfikując uprawnień użytkownika ani integralności przesyłanych obrazów.

CVE-2026-41274
Krytyczne

Flowise przed wersją 3.1.0 ma podatność w węźle GraphCypherQAChain, który przekazuje dane wejściowe od użytkownika bez odpowiedniej sanitizacji. To pozwala atakującemu na wstrzykiwanie dowolnych poleceń Cypher, które są wykonywane na bazie danych Neo4j.

CVE-2026-35431
Krytyczne

W Microsoft Entra ID Entitlement Management występuje podatność typu server-side request forgery (SSRF), która pozwala nieautoryzowanemu atakującemu na przeprowadzenie spoofingu w sieci.

CVE-2026-33819
Krytyczne

Deserializacja nieufnych danych w Microsoft Bing umożliwia nieautoryzowanemu atakującemu wykonanie kodu przez sieć.

CVE-2026-33102
Krytyczne

W M365 Copilot występuje podatność na przekierowanie URL do nieufnej strony ('open redirect'), co pozwala nieautoryzowanemu atakującemu na podniesienie uprawnień w sieci.

CVE-2026-32210
Krytyczne

Podatność typu server-side request forgery (SSRF) w Microsoft Dynamics 365 (Online) umożliwia nieautoryzowanemu atakującemu przeprowadzanie spoofingu w sieci.

CVE-2026-26210
Krytyczne

KTransformers w wersjach do 0.5.3 zawiera podatność na niebezpieczną deserializację w trybie backendowym balance_serve. Serwer RPC planowania wiąże gniazdo ZMQ ROUTER do wszystkich interfejsów bez uwierzytelnienia i deserializuje przychodzące wiadomości za pomocą pickle.loads() bez walidacji.

CVE-2026-24303
Krytyczne

Nieprawidłowa kontrola dostępu w Microsoft Partner Center umożliwia autoryzowanemu atakującemu podniesienie uprawnień w sieci.

CVE-2026-6942
Krytyczne

Wersja 1.6.0 i wcześniejsze radare2-mcp zawierają podatność na wstrzykiwanie poleceń systemowych, która pozwala zdalnym atakującym na wykonywanie dowolnych poleceń poprzez obejście filtra poleceń za pomocą metaznaków powłoki w danych wejściowych kontrolowanych przez użytkownika przekazywanych do r2_cmd_str().

CVE-2026-41276
Krytyczne

Flowise to interfejs użytkownika typu drag & drop do budowania dostosowanych przepływów dużych modeli językowych. Przed wersją 3.1.0, ta podatność pozwala zdalnym atakującym na ominięcie uwierzytelnienia w dotkniętych instalacjach FlowiseAI Flowise, co umożliwia resetowanie haseł bez wymaganego uwierzytelnienia.

CVE-2026-41268
Krytyczne

Flowise, interfejs użytkownika do budowy dostosowanych modeli językowych, przed wersją 3.1.0 ma krytyczną podatność na zdalne wykonanie poleceń (RCE) bez uwierzytelnienia. Można ją wykorzystać poprzez obejście nadpisania parametrów z użyciem słowa kluczowego FILE-STORAGE:: oraz wstrzyknięcia zmiennej środowiskowej NODE_OPTIONS.

CVE-2026-41265
Krytyczne

Flowise to interfejs typu drag & drop do budowania dostosowanych przepływów modeli językowych. Przed wersją 3.1.0 występował błąd w metodzie run klasy Airtable_Agents, który wynikał z braku odpowiedniego piaskownicy przy ocenie skryptu Pythona generowanego przez LLM.

PoprzedniaStrona 99 z 561Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS