Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-42897
WysokieAktywnie exploitowaneEPSS 83%

W Microsoft Exchange Server występuje niewłaściwe neutralizowanie danych wejściowych podczas generowania stron internetowych, co prowadzi do podatności na ataki typu 'cross-site scripting'. Taki błąd umożliwia nieautoryzowanemu atakującemu przeprowadzenie oszustwa w sieci.

CVE-2026-20182
KrytyczneAktywnie exploitowaneEPSS 100%

W podatności CVE-2026-20182 zidentyfikowano problem z mechanizmem uwierzytelniania w Cisco Catalyst SD-WAN Controller, Manager i Validator, który umożliwia nieautoryzowanemu atakującemu ominięcie uwierzytelnienia i uzyskanie uprawnień administracyjnych. Atakujący może wykorzystać tę lukę, wysyłając spreparowane żądania do systemu.

CVE-2026-0257
KrytyczneAktywnie exploitowaneEPSS 98%

W podatności CVE-2026-0257 występują luki w autoryzacji w portalu GlobalProtect oraz bramie oprogramowania PAN-OS® firmy Palo Alto Networks, które umożliwiają atakującemu ominięcie zabezpieczeń i nawiązanie nieautoryzowanego połączenia VPN.

CVE-2026-45321
KrytyczneAktywnie exploitowane

W dniu 11 maja 2026 roku opublikowano 84 złośliwe wersje w 42 pakietach @tanstack/* w rejestrze npm. Atakujący wykorzystał trzy znane klasy podatności, aby opublikować złośliwe oprogramowanie kradnące dane uwierzytelniające pod zaufaną tożsamością.

CVE-2026-42271
WysokieAktywnie exploitowaneEPSS 100%

LiteLLM w wersjach od 1.74.2 do 1.83.6 zawiera podatność w endpointach POST /mcp-rest/test/connection i POST /mcp-rest/test/tools/list, które akceptują pełną konfigurację serwera MCP, w tym polecenia do wykonania. Uwierzytelniony użytkownik z dowolnym kluczem API (nawet niskiego poziomu) może uruchomić dowolne polecenie na hoście proxy.

CVE-2026-42208
KrytyczneAktywnie exploitowaneEPSS 100%

W wersjach LiteLLM od 1.81.16 do 1.83.7 występuje podatność polegająca na wstrzykiwaniu zapytań SQL podczas sprawdzania kluczy API. Niezautoryzowany atakujący może wysłać spreparowany nagłówek Authorization, co prowadzi do odczytu i potencjalnej modyfikacji danych w bazie proxy.

CVE-2026-6973
WysokieAktywnie exploitowaneEPSS 90%

W Ivanti EPMM przed wersjami 12.6.1.1, 12.7.0.1 i 12.8.0.1 występuje niewłaściwa walidacja danych wejściowych, która pozwala zdalnie uwierzytelnionemu użytkownikowi z dostępem administracyjnym na zdalne wykonanie kodu.

CVE-2026-31431
WysokieAktywnie exploitowaneEPSS 100%

W jądrze Linuxa wycofano optymalizację operacji w miejscu (in-place) w algorytmie szyfrowania AEAD przez gniazda AF_ALG. Przywrócono działanie poza miejscem (out-of-place), ponieważ źródło i cel pochodzą z różnych mapowań pamięci, co czyniło optymalizację niekorzystną. Usunięto złożoność dodaną dla operacji w miejscu, kopiując dane skojarzone bezpośrednio.

CVE-2026-34197
WysokieAktywnie exploitowaneEPSS 100%

Podatność w Apache ActiveMQ umożliwia uwierzytelnionemu atakującemu zdalne wykonanie kodu poprzez endpoint Jolokia JMX-HTTP. Wykorzystuje ona nieprawidłową walidację wejścia i kontrolę generowania kodu, co prowadzi do wstrzyknięcia kodu.

CVE-2026-20127
KrytyczneAktywnie exploitowaneEPSS 99%

Podatność w mechanizmie uwierzytelniania peeringu w Cisco Catalyst SD-WAN Controller, Manager i Validator umożliwia zdalnemu atakującemu bez uwierzytelnienia ominięcie procesu logowania i uzyskanie uprawnień administracyjnych na podatnym systemie.

CVE-2026-24858
KrytyczneAktywnie exploitowaneEPSS 90%

W Fortinet FortiAnalyzer, FortiManager, FortiNAC-F, FortiOS, FortiProxy oraz FortiWeb występuje podatność na obejście uwierzytelnienia, która pozwala atakującemu z kontem FortiCloud i zarejestrowanym urządzeniem na zalogowanie się do innych urządzeń zarejestrowanych na innych kontach, jeśli na tych urządzeniach włączono uwierzytelnianie SSO FortiCloud.

CVE-2026-21509
WysokieAktywnie exploitowaneEPSS 99%

Zaufanie do niezweryfikowanych danych wejściowych w decyzji bezpieczeństwa w Microsoft Office umożliwia nieautoryzowanemu atakującemu lokalne obejście funkcji zabezpieczeń.

CVE-2025-59718
KrytyczneAktywnie exploitowaneEPSS 94%

W Fortinet FortiOS, FortiProxy i FortiSwitchManager występuje podatność związana z niewłaściwą weryfikacją podpisu kryptograficznego, która pozwala nieautoryzowanemu atakującemu na ominięcie uwierzytelniania logowania SSO FortiCloud za pomocą spreparowanej wiadomości SAML.

CVE-2025-64328
WysokieAktywnie exploitowaneEPSS 100%

Moduł Endpoint Manager w FreePBX, w wersjach 17.0.2.36 i wyższych przed 17.0.3, jest podatny na wstrzyknięcie poleceń po uwierzytelnieniu przez znanego użytkownika. Atakujący może wykorzystać tę podatność do uzyskania zdalnego dostępu do systemu jako użytkownik asterisk.

CVE-2025-57819
KrytyczneAktywnie exploitowaneEPSS 100%

FreePBX, otwartoźródłowy interfejs graficzny, ma luki w wersjach 15, 16 i 17, które wynikają z niewystarczającego oczyszczania danych dostarczanych przez użytkowników. Umożliwia to nieautoryzowany dostęp do administratora FreePBX, co prowadzi do manipulacji bazą danych i zdalnego wykonania kodu.

CVE-2025-31277
WysokieAktywnie exploitowaneEPSS 71%

Podatność w WebKit umożliwia uszkodzenie pamięci podczas przetwarzania złośliwie spreparowanych treści internetowych. Problem został rozwiązany poprzez poprawę obsługi pamięci.

CVE-2024-7593
KrytyczneAktywnie exploitowane

Nieprawidłowa implementacja algorytmu uwierzytelniania w Ivanti vTM, z wyjątkiem wersji 22.2R1 lub 22.7R2, umożliwia zdalnemu, nieautoryzowanemu atakującemu ominięcie uwierzytelnienia panelu administracyjnego.

CVE-2024-21182
WysokieAktywnie exploitowane

Podatność w produkcie Oracle WebLogic Server w ramach Oracle Fusion Middleware (komponent: Core) dotyczy wersji 12.2.1.4.0 oraz 14.1.1.0.0. Łatwo eksploatowalna podatność pozwala nieautoryzowanemu atakującemu z dostępem do sieci na kompromitację Oracle WebLogic Server.

CVE-2023-41266
WysokieAktywnie exploitowaneEPSS 100%

W Qlik Sense Enterprise dla systemu Windows zidentyfikowano podatność typu path traversal, która występuje w wersjach do maja 2023 Patch 3, lutego 2023 Patch 7, listopada 2022 Patch 10 oraz sierpnia 2022 Patch 12. Umożliwia to nieautoryzowanemu zdalnemu atakującemu generowanie anonimowej sesji i przesyłanie żądań HTTP do nieautoryzowanych punktów końcowych.

CVE-2023-41265
KrytyczneAktywnie exploitowaneEPSS 100%

W Qlik Sense Enterprise dla systemu Windows zidentyfikowano podatność na tunelowanie żądań HTTP, która dotyczy wersji z maja 2023 Patch 3 i wcześniejszych, lutego 2023 Patch 7 i wcześniejszych, listopada 2022 Patch 10 i wcześniejszych oraz sierpnia 2022 Patch 12 i wcześniejszych. Umożliwia to zdalnemu atakującemu podniesienie swoich uprawnień poprzez tunelowanie żądań HTTP w surowym żądaniu HTTP.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS