Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-12569
KrytyczneAktywnie exploitowaneEPSS 62%

Krytyczna podatność zdalnego wykonania kodu (RCE) w systemach PTC Windchill PDMlink i PTC FlexPLM. Luka może być wykorzystana poprzez deserializację niezaufanych danych, co pozwala atakującemu na zdalne wykonanie dowolnego kodu.

CVE-2026-20262
ŚrednieAktywnie exploitowaneEPSS 63%

Podatność w interfejsie webowym Cisco Catalyst SD-WAN Manager umożliwia uwierzytelnionemu, zdalnemu atakującemu tworzenie lub nadpisywanie plików w systemie plików. Wykorzystanie tej podatności wymaga wysłania odpowiednio skonstruowanego żądania HTTP do punktu końcowego API.

CVE-2026-54420
WysokieAktywnie exploitowane

Wtyczka LiteSpeed cPanel przed wersją 2.4.8 niewłaściwie obsługuje dowiązania symboliczne dostarczane przez użytkowników z dostępem FTP lub przez powłokę sieciową na serwerach współdzielonych działających na CloudLinux/CageFS.

CVE-2026-48558
KrytyczneAktywnie exploitowaneEPSS 65%

SimpleHelp w wersjach 5.5.15 i starszych oraz wersjach przedpremierowych 6.0 zawiera podatność na pominięcie uwierzytelnienia w przepływie OIDC. Tokeny tożsamości przesyłane podczas logowania są akceptowane bez weryfikacji podpisu kryptograficznego, co pozwala zdalnemu, nieuwierzytelnionemu atakującemu na uzyskanie w pełni uwierzytelnionej sesji technika.

CVE-2026-35273
KrytyczneAktywnie exploitowaneEPSS 96%

Podatność w produkcie PeopleSoft Enterprise PeopleTools firmy Oracle, dotycząca zarządzania środowiskiem aktualizacji. Wersje 8.61 i 8.62 są podatne na łatwe do wykorzystania ataki, które mogą prowadzić do przejęcia systemu.

CVE-2026-20253
KrytyczneAktywnie exploitowaneEPSS 95%

W Splunk Enterprise w wersjach 10.2 poniżej 10.2.4 oraz 10 poniżej 10.0.7, nieautoryzowany użytkownik może tworzyć lub skracać dowolne pliki poprzez punkt końcowy usługi PostgreSQL sidecar. Podatność wynika z braku kontroli uwierzytelniania w tym punkcie końcowym.

CVE-2026-10520
KrytyczneAktywnie exploitowaneEPSS 98%

W podatności CVE-2026-10520 w Ivanti Sentry przed wersjami R10.5.2, R10.6.2 i R10.7.1 występuje luka typu OS Command Injection, która pozwala zdalnemu, nieautoryzowanemu użytkownikowi na uzyskanie zdalnego wykonania kodu na poziomie roota.

CVE-2026-11645
WysokieAktywnie exploitowaneEPSS 90%

W V8 w Google Chrome przed wersją 149.0.7827.103 wystąpiła podatność na odczyt i zapis poza zakresem, co umożliwiało zdalnemu atakującemu wykonanie dowolnego kodu w obrębie piaskownicy za pomocą spreparowanej strony HTML.

CVE-2026-50751
KrytyczneAktywnie exploitowaneEPSS 94%

Słabość w logice walidacji certyfikatów w zdalnym dostępie i mobilnym dostępie w przestarzałym wymianie kluczy IKEv1 pozwala nieautoryzowanemu zdalnemu atakującemu na ominięcie uwierzytelnienia użytkownika i nawiązanie połączenia VPN bez ważnego hasła użytkownika.

CVE-2026-7473
ŚrednieAktywnie exploitowaneEPSS 96%

Na podatnych platformach działających na Arista EOS, konfiguracja dekapsulacji tunelu, taka jak VXLAN, decap-groups lub interfejs tunelu GRE, może prowadzić do nieprawidłowego dekapsulowania i przesyłania innych nieoczekiwanych pakietów tunelowych. Problem wynika z braku weryfikacji typu protokołu tunelu przez przełącznik.

CVE-2026-48907
KrytyczneAktywnie exploitowaneEPSS 91%

Podatność w rozszerzeniu edytora JCE dla Joomla umożliwia tworzenie nowych profili edytora przez nieautoryzowanych użytkowników, co prowadzi do możliwości przesyłania i wykonywania kodu PHP.

CVE-2026-20245
WysokieAktywnie exploitowaneEPSS 57%

Podatność w interfejsie CLI kontrolera Cisco Catalyst SD-WAN, menedżera oraz walidatora SD-WAN może pozwolić uwierzytelnionemu, lokalnemu atakującemu na wykonanie dowolnych poleceń jako root poprzez dostarczenie spreparowanego pliku do systemu.

CVE-2026-28318
WysokieAktywnie exploitowane

SolarWinds Serv-U jest podatny na specjalnie przygotowane żądania POST, które mogą spowodować awarię usługi Serv-U bez potrzeby uwierzytelnienia, wykorzystując Content-Encoding: deflate. W przypadku braku możliwości wdrożenia aktualizacji, dostępne są kroki łagodzące w Centrum Zaufania SolarWinds.

CVE-2026-20230
WysokieAktywnie exploitowaneEPSS 99%

Podatność w Cisco Unified Communications Manager i Unified CM SME umożliwia nieuwierzytelnionemu atakującemu zdalne przeprowadzenie ataku SSRF. Błąd wynika z nieprawidłowej walidacji wejścia dla określonych żądań HTTP, co pozwala na zapis plików w systemie operacyjnym i potencjalną eskalację uprawnień do roota.

CVE-2025-48595
WysokieAktywnie exploitowane

W wielu miejscach istnieje możliwość wykonania kodu z powodu przepełnienia całkowitego. Może to prowadzić do lokalnego podniesienia uprawnień bez potrzeby dodatkowych uprawnień wykonawczych. Wykorzystanie tej podatności nie wymaga interakcji użytkownika.

CVE-2026-45247
KrytyczneAktywnie exploitowane

Mirasvit Full Page Cache Warmer dla Magento 2 przed wersją 1.11.12 zawiera podatność na wstrzykiwanie obiektów PHP, która pozwala nieautoryzowanym atakującym na zdalne wykonanie kodu poprzez dostarczenie spreparowanego zserializowanego obiektu PHP w ciasteczku CacheWarmer. Wykorzystanie nieograniczonego wywołania funkcji PHP unserialize() w połączeniu z łańcuchami gadżetów dostępnymi w Magento i jego zależnościach umożliwia wykonanie dowolnego kodu na serwerze.

CVE-2026-45659
WysokieAktywnie exploitowaneEPSS 86%

Podatność w Microsoft Office SharePoint umożliwia deserializację niezaufanych danych, co pozwala autoryzowanemu atakującemu na zdalne wykonanie kodu w sieci.

CVE-2026-34910
KrytyczneAktywnie exploitowaneEPSS 100%

W urządzeniach UniFi OS występuje podatność na niewłaściwą walidację danych wejściowych, która może być wykorzystana przez złośliwego aktora z dostępem do sieci do wykonania ataku typu Command Injection.

CVE-2026-34909
KrytyczneAktywnie exploitowaneEPSS 76%

W urządzeniach UniFi OS występuje podatność typu Path Traversal, która może być wykorzystana przez złośliwego aktora z dostępem do sieci. Umożliwia to dostęp do plików w systemie, co może prowadzić do manipulacji kontem użytkownika.

CVE-2026-34908
KrytyczneAktywnie exploitowaneEPSS 79%

W urządzeniach UniFi OS występuje podatność na niewłaściwą kontrolę dostępu, która może być wykorzystana przez złośliwego aktora z dostępem do sieci do dokonania nieautoryzowanych zmian w systemie.

PoprzedniaStrona 1 z 4Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS