Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-31175
Krytyczne

W oprogramowaniu układowym ToToLink A3300R w wersji v17.0.0cu.557_B20221024 odkryto problem, który pozwala atakującym na wykonywanie dowolnych poleceń za pomocą parametru stunEnable w /cgi-bin/cstecgi.cgi.

CVE-2026-40472
Krytyczne

W hackage-server, metadane kontrolowane przez użytkownika z plików .cabal są renderowane w atrybutach href HTML bez odpowiedniej sanitizacji, co umożliwia ataki typu Cross-Site Scripting (XSS) typu stored.

CVE-2026-40471
Krytyczne

Serwer hackage nie posiadał ochrony przed atakami Cross-Site Request Forgery (CSRF) na swoich punktach końcowych. Skrypty na obcych stronach mogły wywoływać żądania do serwera hackage, co mogło prowadzić do nadużycia ukrytych poświadczeń w celu przesyłania pakietów lub wykonywania innych działań administracyjnych.

CVE-2026-40470
Krytyczne

Krytyczna podatność XSS dotyczyła hackage-server oraz hackage.haskell.org. Pliki HTML i JavaScript dostarczane w pakietach źródłowych lub za pośrednictwem funkcji przesyłania dokumentacji były serwowane bezpośrednio na głównym domenie hackage.haskell.org.

CVE-2026-23751
Krytyczne

Kofax Capture (Tungsten Capture) w wersji 6.0.0.0 (inne wersje mogą być podatne) udostępnia przestarzały kanał .NET Remoting HTTP na porcie 2424, który jest dostępny bez uwierzytelnienia. Atakujący może wykorzystać techniki unmarshalling obiektów .NET Remoting do instancjonowania obiektu System.Net.WebClient i uzyskania dostępu do plików na serwerze.

CVE-2025-62373
Krytyczne

Pipecat to otwartoźródłowy framework Pythona do budowania agentów konwersacyjnych w czasie rzeczywistym. W wersjach od 0.0.41 do 0.0.93 występuje podatność w klasie `LivekitFrameSerializer`, która umożliwia zdalne wykonanie kodu przez nieautoryzowane dane WebSocket.

CVE-2025-50229
Krytyczne

Jizhicms w wersji 2.5.4 jest podatny na atak typu SQL injection w module edycji produktów. Atakujący może wykorzystać tę podatność do nieautoryzowanego dostępu do bazy danych.

CVE-2026-41460
Krytyczne

Wersje SocialEngine 7.8.0 i wcześniejsze zawierają podatność na wstrzykiwanie SQL w punkcie końcowym /activity/index/get-memberall, gdzie dane wejściowe dostarczone przez użytkownika przez parametr text nie są odpowiednio filtrowane przed użyciem w zapytaniu SQL. Atakujący zdalny, nieautoryzowany może wykorzystać tę podatność do odczytu dowolnych danych z bazy danych oraz resetowania haseł kont administratorów.

CVE-2026-39440
Krytyczne

Podatność typu 'Code Injection' w FunnelFormsPro firmy Funnelforms LLC pozwala na zdalne wstrzykiwanie kodu. Problem dotyczy wersji FunnelFormsPro od n/a do 3.8.1.

CVE-2026-6887
Krytyczne

Borg SPM 2007, rozwijany przez BorG Technology Corporation, posiada podatność na wstrzykiwanie SQL, która umożliwia nieautoryzowanym atakującym zdalne wstrzykiwanie dowolnych poleceń SQL w celu odczytu, modyfikacji i usunięcia zawartości bazy danych.

CVE-2026-6886
Krytyczne

Borg SPM 2007, rozwijany przez BorG Technology Corporation, posiada podatność na obejście uwierzytelniania, co pozwala nieautoryzowanym atakującym zdalnym na zalogowanie się do systemu jako dowolny użytkownik.

CVE-2026-6885
Krytyczne

Borg SPM 2007, rozwijany przez BorG Technology Corporation, posiada podatność na nieautoryzowane przesyłanie plików, co pozwala zdalnym atakującym na przesyłanie i uruchamianie złośliwych skryptów na serwerze.

CVE-2026-3960
Krytyczne

W H2O-3 w wersji 3.46.0.9 i wcześniejszych występuje krytyczna podatność na zdalne wykonanie kodu w nieautoryzowanym punkcie końcowym REST API /99/ImportSQLTable. Podatność wynika z niewystarczających zabezpieczeń w mechanizmie czarnej listy parametrów, co pozwala atakującym na ominięcie tych zabezpieczeń.

CVE-2026-41229
Krytyczne

Froxlor to oprogramowanie do zarządzania serwerem typu open source. W wersjach przed 2.3.6, funkcja `PhpHelper::parseArrayToString()` zapisuje wartości tekstowe w pojedynczych cudzysłowach PHP bez odpowiedniego zabezpieczenia przed wstrzyknięciem. To umożliwia atakującemu wstrzyknięcie dowolnego kodu PHP, który będzie wykonywany jako użytkownik serwera WWW.

CVE-2026-41228
Krytyczne

Froxlor to oprogramowanie do zarządzania serwerem typu open source. W wersjach przed 2.3.6, punkt końcowy API `Customers.update` (oraz `Admins.update`) nie weryfikuje parametru `def_language` względem dostępnych plików językowych, co pozwala uwierzytelnionemu użytkownikowi na wstrzyknięcie ładunku do przejścia ścieżki.

CVE-2026-3844
Krytyczne

Wtyczka Breeze Cache dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji 'fetch_gravatar_from_remote' we wszystkich wersjach do 2.4.4 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.

CVE-2026-41679
Krytyczne

Paperclip to serwer Node.js i interfejs React, który koordynuje zespół agentów AI do prowadzenia działalności. Przed wersją 2026.416.0, nieautoryzowany atakujący mógł uzyskać pełne zdalne wykonanie kodu na każdej instancji Paperclip działającej w trybie `authenticated` z domyślną konfiguracją.

CVE-2026-41211
Krytyczne

Vite+ to zintegrowany zestaw narzędzi do tworzenia aplikacji webowych. W wersjach przed 0.1.17 funkcja `downloadPackageManager()` akceptuje nieufny ciąg `version`, co pozwala na manipulację ścieżkami w systemie plików, umożliwiając atakującemu usunięcie lub zastąpienie katalogów poza zamierzonym miejscem w pamięci podręcznej.

CVE-2026-41196
Krytyczne

W Luanti (wcześniej Minetest) występuje podatność, która pozwala złośliwym modom na ucieczkę z piaskownicy środowiska Lua i wykonanie dowolnego kodu, uzyskując pełny dostęp do systemu plików użytkownika. Dotyczy to zarówno modów po stronie serwera, jak i środowisk po stronie klienta.

CVE-2026-41179
KrytyczneEPSS 95%

W Rclone od wersji 1.48.0 do 1.73.4 punkt końcowy RC `operations/fsinfo` jest dostępny bez wymaganego uwierzytelnienia i akceptuje kontrolowane przez atakującego dane wejściowe `fs`. Umożliwia to nieuwierzytelnionemu atakującemu zdalne wykonanie poleceń na serwerze poprzez wykorzystanie backendu WebDAV z parametrem `bearer_token_command`.

PoprzedniaStrona 101 z 561Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS