Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
W Qlik Sense Enterprise dla systemu Windows zidentyfikowano podatność na tunelowanie żądań HTTP, która dotyczy wersji z maja 2023 Patch 3 i wcześniejszych, lutego 2023 Patch 7 i wcześniejszych, listopada 2022 Patch 10 i wcześniejszych oraz sierpnia 2022 Patch 12 i wcześniejszych. Umożliwia to zdalnemu atakującemu podniesienie swoich uprawnień poprzez tunelowanie żądań HTTP w surowym żądaniu HTTP.
WinRAR w wersjach przed 6.23 pozwala atakującym na wykonanie dowolnego kodu, gdy użytkownik próbuje otworzyć nieszkodliwy plik w archiwum ZIP. Problem występuje, gdy archiwum ZIP zawiera nieszkodliwy plik (np. zwykły plik .JPG) oraz folder o tej samej nazwie, a zawartość folderu (mogąca zawierać kod wykonywalny) jest przetwarzana podczas próby dostępu tylko do nieszkodliwego pliku.
W MICS Admin Portal w wersjach 9.18.0 i niższych Ivanti MobileIron Sentry występuje podatność, która może umożliwić atakującemu ominięcie kontroli uwierzytelniania na interfejsie administracyjnym z powodu niewystarczająco restrykcyjnej konfiguracji Apache HTTPD.
W Juniper Networks Junos OS na serii EX występuje podatność związana z brakiem uwierzytelnienia dla krytycznej funkcji, która pozwala nieautoryzowanemu atakującemu na przesyłanie dowolnych plików przez J-Web. Może to prowadzić do utraty integralności systemu plików.
W Juniper Networks Junos OS na serii SRX występuje podatność związana z brakiem uwierzytelnienia dla krytycznej funkcji, która pozwala nieautoryzowanemu atakującemu na przesyłanie dowolnych plików przez J-Web, co prowadzi do utraty integralności systemu plików.
W podatności CVE-2023-36845 w J-Web systemu Junos OS firmy Juniper Networks, atakujący zdalny, nieautoryzowany może wykonać kod poprzez modyfikację zmiennej PHPRC. Umożliwia to zdalne wstrzyknięcie i wykonanie kodu w środowisku PHP.
W podatności CVE-2023-36844 w J-Web systemu Junos OS firmy Juniper Networks występuje możliwość modyfikacji zmiennych środowiskowych PHP przez nieautoryzowanego atakującego. Atakujący może wykorzystać spreparowane żądanie do zmiany ważnych zmiennych, co prowadzi do częściowej utraty integralności.
W podatności CVE-2023-35082 w Ivanti EPMM 11.10 i starszych wersjach, występuje możliwość ominięcia uwierzytelnienia, co pozwala nieautoryzowanym użytkownikom uzyskać dostęp do zastrzeżonej funkcjonalności lub zasobów aplikacji bez odpowiedniego uwierzytelnienia.
Podatność w .NET i Visual Studio umożliwia atak typu Denial of Service (DoS), co może prowadzić do niedostępności aplikacji lub usług. Atakujący może wykorzystać tę lukę, aby zablokować działanie systemu.
Podatność typu path traversal w interfejsie API iclock systemu ZKTeco BioTime w wersji 8.5.5 umożliwia nieuwierzytelnionym atakującym odczyt dowolnych plików poprzez spreparowane żądanie. Luka została naprawiona w wersji 9.0.120240617.19506.
W Ivanti EPMM występuje podatność na traversję ścieżki, która pozwala uwierzytelnionemu administratorowi na zapis dowolnych plików na urządzeniu. Dotyczy to wersji 11.10.x przed 11.10.0.3, 11.9.x przed 11.9.1.2 oraz 11.8.x przed 11.8.1.2.
Zimbra Collaboration (ZCS) w wersji 8 przed 8.8.15 Patch 41 umożliwia atak XSS w klasycznym kliencie webowym Zimbra.
Problem dotyczy możliwości modyfikacji wrażliwego stanu jądra przez aplikację. Został on rozwiązany poprzez poprawę zarządzania stanem w systemach operacyjnych Apple.
Problem został rozwiązany poprzez poprawę kontroli. Przetwarzanie treści internetowych może prowadzić do wykonania dowolnego kodu.
W podatności CVE-2023-35078 w Ivanti EPMM występuje luka umożliwiająca ominięcie uwierzytelniania, co pozwala nieautoryzowanym użytkownikom na dostęp do zastrzeżonej funkcjonalności lub zasobów aplikacji bez odpowiedniego uwierzytelnienia.
Wersje Adobe ColdFusion 2018u17 (i wcześniejsze), 2021u7 (i wcześniejsze) oraz 2023u1 (i wcześniejsze) są podatne na lukę w deserializacji niezaufanych danych, co może prowadzić do wykonania dowolnego kodu. Wykorzystanie tej luki nie wymaga interakcji użytkownika.
Podatność CVE-2023-3519 umożliwia zdalne wykonanie kodu przez nieautoryzowanego użytkownika. Może to prowadzić do przejęcia kontroli nad systemem.
Podatność w systemie Windows Search umożliwia zdalne wykonanie kodu. Atakujący może wykorzystać tę lukę, aby przejąć kontrolę nad systemem.
Podatność w usłudze raportowania błędów systemu Windows umożliwia podniesienie uprawnień. Atakujący może wykorzystać tę lukę, aby uzyskać wyższe uprawnienia w systemie.
Podatność w Microsoft Outlook umożliwia obejście funkcji zabezpieczeń, co może prowadzić do nieautoryzowanego dostępu do danych użytkownika.

