Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
Podatność typu Cross Site Scripting w Zimbra ZCS w wersji 8.8.15 umożliwia zdalnemu uwierzytelnionemu atakującemu wykonanie dowolnego kodu za pomocą spreparowanego skryptu w funkcji /h/autoSaveDraft.
W urządzeniach TP-Link TL-WR940N V2/V4, TL-WR841N V8/V10 oraz TL-WR740N V1/V2 odkryto podatność na wstrzykiwanie poleceń poprzez komponent /userRpm/WlanNetworkRpm.
W V8 w Google Chrome przed wersją 114.0.5735.110 wystąpiło zamieszanie typów, które mogło pozwolić zdalnemu atakującemu na potencjalne wykorzystanie uszkodzenia sterty za pomocą spreparowanej strony HTML.
W aplikacji webowej MOVEit Transfer przed wersją 2021.0.6 zidentyfikowano podatność na wstrzykiwanie SQL, która może umożliwić nieautoryzowanemu atakującemu dostęp do bazy danych MOVEit Transfer. Atakujący może uzyskać informacje o strukturze i zawartości bazy danych oraz wykonywać polecenia SQL, które mogą zmieniać lub usuwać elementy bazy danych.
W wersjach RocketMQ 5.1.0 i poniżej istnieje ryzyko zdalnego wykonania poleceń w określonych warunkach. Wiele komponentów RocketMQ, takich jak NameServer, Broker i Controller, jest narażonych na ataki z powodu braku weryfikacji uprawnień.
W podatności CVE-2023-33010 występuje przepełnienie bufora w funkcji przetwarzania ID w oprogramowaniu układowym serii Zyxel ATP, USG FLEX, USG20(W)-VPN oraz serii VPN i ZyWALL/USG. Może to pozwolić nieautoryzowanemu atakującemu na wywołanie warunków odmowy usługi (DoS) oraz zdalne wykonanie kodu na podatnym urządzeniu.
W podatności CVE-2023-33009 występuje przepełnienie bufora w funkcji powiadomień w oprogramowaniu układowym serii Zyxel ATP, USG FLEX, USG20(W)-VPN oraz serii VPN i ZyWALL/USG. Może to umożliwić nieautoryzowanemu atakującemu wywołanie warunków odmowy usługi (DoS) oraz zdalne wykonanie kodu na podatnym urządzeniu.
W urządzeniu D-Link DIR-820L w wersji 1.05B03 wykryto podatność na zdalne wykonanie kodu (RCE) poprzez wysłanie żądania HTTP POST do funkcji get set ccp.
Wykryto podatność w funkcji cgroup_release_agent_write jądra Linux w pliku kernel/cgroup/cgroup-v1.c. W określonych okolicznościach, flaw ta pozwala na wykorzystanie funkcji release_agent cgroups v1 do eskalacji uprawnień oraz nieoczekiwanego obejścia izolacji przestrzeni nazw.
Podatność w Sitecore XP od wersji 7.5 do 8.2 Update-7 umożliwia zdalne wykonanie kodu poprzez niezabezpieczoną deserializację. Atak nie wymaga uwierzytelnienia ani specjalnej konfiguracji.
W Arm Trusted Firmware M do wersji 1.2, świat NS może wywołać zatrzymanie systemu, nadpisanie danych zabezpieczonych lub wydrukowanie danych zabezpieczonych podczas wywoływania funkcji zabezpieczonych w trybie obsługi NSPE.
Podatność w Nagios XI w wersji xi-5.7.5 umożliwia wstrzyknięcie poleceń systemu operacyjnego. Problem występuje w pliku cloud-vm.inc.php z powodu niewłaściwego oczyszczania danych wejściowych uwierzytelnionego użytkownika.
Podatność w Nagios XI w wersji xi-5.7.5 umożliwia wstrzyknięcie poleceń systemu operacyjnego. Problem występuje w pliku switch.inc.php z powodu niewłaściwego oczyszczania danych wejściowych uwierzytelnionego użytkownika.
Podatność w Nagios XI w wersji xi-5.7.5 umożliwia wstrzyknięcie poleceń systemu operacyjnego. Problem występuje w pliku windowswmi.inc.php z powodu niewłaściwego oczyszczania danych wejściowych uwierzytelnionego użytkownika.
W wersjach Sangoma FreePBX 115.0.16.26 i niższych, 14.0.13.11 i niższych oraz 13.0.197.13 i niższych występuje nieprawidłowa kontrola dostępu.
Podatność w Spring Data Commons (wersje 1.13 do 1.13.10, 2.0 do 2.0.5 oraz starsze niewspierane) wynika z nieprawidłowej neutralizacji specjalnych elementów w mechanizmie wiązania właściwości. Nieuwierzytelniony zdalny atakujący może wysłać specjalnie spreparowane parametry żądania do zasobów HTTP opartych na Spring Data REST lub wykorzystać wiązanie ładunku żądania oparte na projekcjach Spring Data, co może prowadzić do zdalnego wykonania kodu.

