Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
Wersje Solstice::Session do 1440 dla Perla generują identyfikatory sesji w sposób niebezpieczny. Metoda _generateSessionID zwraca skrót MD5, który jest podatny na przewidywanie, co może umożliwić atakującym uzyskanie dostępu do systemów.
Podatność typu out-of-bounds write w module WEB może prowadzić do nieautoryzowanego zapisu danych. Skuteczne wykorzystanie tej podatności wpłynie na dostępność oraz poufność systemu.
Wykryto podatność w urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024, która dotyczy funkcji setIpQosRules w pliku /cgi-bin/cstecgi.cgi. Manipulacja argumentem Comment prowadzi do zdalnego wstrzyknięcia poleceń systemowych.
Zidentyfikowano słabość w urządzeniu Totolink A7100RU w wersji 7.4cu.2313. Problem dotyczy funkcji setWanCfg w pliku /cgi-bin/cstecgi.cgi, gdzie manipulacja argumentem pppoeServiceName może prowadzić do wstrzyknięcia poleceń systemowych.
W urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024 odkryto lukę bezpieczeństwa w funkcji setWizardCfg w pliku /cgi-bin/cstecgi.cgi. Manipulacja argumentem wizard prowadzi do wstrzyknięcia poleceń systemowych, co może być zrealizowane zdalnie.
Wykryto podatność w urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024, która dotyczy funkcji UploadFirmwareFile w pliku /cgi-bin/cstecgi.cgi. Manipulacja argumentem FileName prowadzi do zdalnego wstrzyknięcia poleceń systemowych.
Wykryto podatność w urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024, która dotyczy funkcji UploadOpenVpnCert w pliku /cgi-bin/cstecgi.cgi. Manipulacja argumentem FileName prowadzi do wstrzyknięcia poleceń systemowych.
W urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024 znaleziono lukę, która dotyczy funkcji setAccessDeviceCfg w pliku /cgi-bin/cstecgi.cgi. Manipulacja argumentem mac prowadzi do zdalnego wstrzyknięcia poleceń systemowych.
W podatności CVE-2026-6132 zidentyfikowano problem w urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024. Dotyczy on funkcji setLedCfg w pliku /cgi-bin/cstecgi.cgi, gdzie manipulacja argumentem enable prowadzi do zdalnego wstrzyknięcia poleceń systemowych.
Wykryto podatność w urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024. Problem dotyczy funkcji setTracerouteCfg w pliku /cgi-bin/cstecgi.cgi, gdzie manipulacja argumentem command prowadzi do zdalnego wstrzyknięcia poleceń systemowych.
Skrypt hostingu obrazów CF w wersji 1.6.5 pozwala nieautoryzowanym atakującym na pobranie i dekodowanie bazy danych aplikacji poprzez dostęp do pliku imgdb.db w katalogu upload/data. Atakujący mogą wydobyć identyfikatory usuniętych obrazów przechowywane w postaci tekstu jawnego z deserializowanej bazy danych.
Wykryto podatność w urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024, która dotyczy funkcji setDiagnosisCfg w pliku /cgi-bin/cstecgi.cgi. Manipulacja argumentem ip prowadzi do wstrzyknięcia poleceń systemowych.
W urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024 znaleziono lukę, która dotyczy funkcji setAppCfg w pliku /cgi-bin/cstecgi.cgi komponentu CGI Handler. Manipulacja argumentem enable może prowadzić do wstrzyknięcia poleceń systemowych.
Wykryto podatność w urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024, dotycząca funkcji setNetworkCfg w pliku /cgi-bin/cstecgi.cgi komponentu CGI Handler. Manipulacja argumentem proto prowadzi do zdalnego wstrzyknięcia poleceń systemowych.
Wykryto podatność w urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024, która dotyczy funkcji setTtyServiceCfg w pliku /cgi-bin/cstecgi.cgi. Manipulacja argumentem ttyEnable prowadzi do zdalnego wstrzyknięcia poleceń systemowych.
Zidentyfikowano słabość w urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024. Problem dotyczy funkcji setRadvdCfg w pliku /cgi-bin/cstecgi.cgi, gdzie manipulacja argumentem maxRtrAdvInterval prowadzi do wstrzyknięcia poleceń systemowych.
W Rukovoditel CRM w wersji 3.6.4 i wcześniejszych występuje podatność typu XSS (cross-site scripting) w punkcie końcowym API telekomunikacyjnego Zadarma (/api/tel/zadarma.php). Aplikacja bez odpowiedniej sanitizacji odzwierciedla dane wejściowe dostarczone przez użytkownika z parametru GET 'zd_echo' w odpowiedzi HTTP.
Podatność CVE-2026-5059 dotyczy serwera aws-mcp, umożliwiając zdalnym atakującym wykonanie dowolnego kodu na zainfekowanych instalacjach. Problem wynika z braku odpowiedniej walidacji ciągu dostarczonego przez użytkownika przed jego użyciem do wykonania wywołania systemowego.
Podatność CVE-2026-5058 dotyczy aws-mcp-server i pozwala zdalnym atakującym na wykonanie dowolnego kodu na zainfekowanych instalacjach. Problem wynika z braku odpowiedniej walidacji łańcucha dostarczonego przez użytkownika przed jego użyciem do wykonania wywołania systemowego.
Podatność CVE-2026-4149 dotyczy urządzenia Sonos Era 300 i pozwala zdalnym atakującym na wykonanie dowolnego kodu. Problem wynika z niewłaściwego przetwarzania pola DataOffset w odpowiedziach SMB, co prowadzi do dostępu do pamięci poza przydzielonym buforem.

